Manual de Referência de Segurança

Manual de referncia de segurana
Sistemas de Controladores GuardLogix 5570

Cdigos de catlogo 1756-L71S, 1756-L72S, 1756-L73S, 1756-L73SXT, 1756-L7SP, 1756-L7SPXT, 1756-L72EROMS,
Aplicaes do Studio 5000 Logix Designer
Traduo das instrues originais

Informaes importantes para o usurio
Leia esse documento e os documentos listados na seo de recursos adicionais sobre instalao, configurao e operao
desse equipamento antes de instalar, configurar, operar ou fazer a manuteno desse produto. Os usurios devem
familiarizar-se com as instrues de instalao e fiao, bem como com os requisitos de todos os cdigos, leis e normas
aplicveis.
As atividades que incluam a instalao, os ajustes, a colocao em funcionamento, o uso, a montagem, a desmontagem
e a manuteno devem ser realizadas por uma equipe devidamente treinada de acordo com o cdigo de prtica aplicvel.
Se esse equipamento for usado de maneira diferente da especificada pelo fabricante, a proteo fornecida pelo equipamento
pode ser prejudicada.
Em nenhuma circunstncia, a Rockwell Automation, Inc. ser responsvel por danos indiretos ou consequentes que
resultam do uso ou da aplicao desse equipamento.
Os exemplos e diagramas deste manual so includos apenas com finalidades ilustrativas. Devido s muitos variveis e
especificaes associadas a qualquer instalao particular, a Rockwell Automation, Inc. no pode assumir responsabilidade
pelo uso real baseado nos exemplos e diagramas.
Nenhuma responsabilidade de patente assumida pela Rockwell Automation, Inc. com respeito ao uso das informaes,
circuitos, equipamento ou software descrito neste manual.
A reproduo do contedo deste manual, inteira ou parcial, sem a permisso por escrito da Rockwell Automation, Inc.
proibida.
Em todo este manual, quando necessrio, usamos observaes para enfatizar consideraes de segurana.
ADVERTNCIA: Identifica informaes sobre prticas ou circunstncias que podem causar uma exploso em um ambiente
classificado, que pode levar a ferimentos pessoais ou morte, dano de propriedade ou perda econmica.
ATENO: Identifica informaes sobre prticas ou circunstncias que podem levar a ferimentos pessoais ou morte, dano de
propriedade ou perda financeira. Etiquetas ajudam a identificar e evitar um risco, bem como reconhecer as consequncias.
IMPORTANTE Identifica informaes crticas para a aplicao bem-sucedida e entendimento do produto.
As etiquetas tambm pode estar sobre ou dentro do equipamento para alertar para cuidados especficos.
PERIGO DE CHOQUE: As etiquetas podem estar sobre ou dentro do equipamento, por exemplo, um inversor ou um motor,
para alertar as pessoas que pode haver tenso perigosa.
PERIGO DE QUEIMADURA: As etiquetas podem estar sobre ou dentro do equipamento, por exemplo, um inversor ou um
motor, para alertar as pessoas que as superfcies podem alcanar temperaturas perigosas.
RISCO DE ARCO ELTRICO: As etiquetas podem estar sobre ou dentro do equipamento, por exemplo, um centro de controle de
motores, para alertar as pessoas sobre um potencial arco eltrico. Um arco eltrico causar ferimentos graves ou morte. Use o
equipamento de proteo individual (EPI) adequado. Siga TODAS as especificaes regulamentadoras para prticas de trabalho
seguro e para o equipamento de proteo individual (EPI).
Allen-Bradley, Armor, ArmorBlock, ArmorGuard, CompactBlock, CompactLogix, ControlFLASH, ControlLogix, ControlLogix-XT, FLEX, Guard I/O, GuardLogix, GuardLogix-XT, Kinetix, Logix5000, POINT Guard I/O,
Rockwell Automation, Rockwell Software, RSLogix, SLC, SmartGuard, Studio 5000, Studio 5000 Automation Engineering & Design Environment so marcas pertencentes Rockwell Automation, Inc.
ControlNet, DeviceNet e EtherNet/IP so marcas comerciais da ODVA. As marcas comerciais que no pertencem Rockwell Automation so de propriedade de suas respectivas empresas.
Resumo de Alteraes
Esse manual contm informaes novas e atualizadas.
Informaes novas Essa tabela contm as alteraes feitas nessa reviso.

e atualizadas Tpico Pgina
As referncias do mdulo de E/S de segurana foram alteradas para o dispositivo Em todo o manual
de E/S de segurana mais genrico, como adequado
O cdigo de catlogo Armor GuardLogix foi adicionado, 1756-L72EROMS, Capa
na capa
As informaes sobre os servo-drives Kinetix 5500 foram adicionadas lista 16
dos componentes certificados SIL-3
O mdulo 1756-EN2TRXT foi acrescentado lista dos mdulos de interface de 23
comunicao
Uma nota para informar que o projeto no verifica se h combinaes de 35
endereo de n e SNN duplicado existe foi adicionada
Uma referncia ao Kinetix 5500 Servo Drive User Manual foi adicionada para 72
informaes sobre o uso dos comandos diretos de movimento em aplicaes
de segurana
Dados de segurana atualizados (IEC 61508. Edio 2, 2010) foram adicionados Apndice E
aos mdulos Guard I/O
Dados de segurana para os mdulos 1734-IB8S, srie B e 1734-OB8S, Apndice E
srie B foram adicionados
Dados PFH atualizados para os mdulos 1734-IE4S Apndice E
Publicao Rockwell Automation 1756-RM099B-PT-P Novembro 2014 3

Resumo de Alteraes
Observaes:
4 Publicao Rockwell Automation 1756-RM099B-PT-P Novembro 2014

Sumrio
Prefcio
Ambiente Studio 5000. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Terminologia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Recursos adicionais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Captulo 1
Conceito de nvel de integridade Certificao SIL 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
de segurana (SIL) Testes de prova. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Arquitetura GuardLogix para aplicaes SIL 3 . . . . . . . . . . . . . . . . . . . . . . 15
Componentes do sistema GuardLogix. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Certificaes GuardLogix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Especificaes de PFD e de PFH do GuardLogix . . . . . . . . . . . . . . . . . . . . 18
Distribuio e peso em conformidade com o nvel de integridade
de segurana (SIL). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Tempo de reao do sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Tempo de reao da tarefa de segurana . . . . . . . . . . . . . . . . . . . . . . . . 20
Perodo da tarefa de segurana e watchdog da tarefa
de segurana. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Informaes de contato se ocorrer uma falha do equipamento . . . . . . . . 20
Captulo 2
Sistema do controlador GuardLogix Hardware do controlador GuardLogix 5570 . . . . . . . . . . . . . . . . . . . . . . . . 21
Controlador primrio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Parceiro de segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Rack. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Fontes de alimentao. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Protocolo CIP Safety . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Dispositivos de E/S de segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Pontes de comunicao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Caractersticas gerais de programao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Captulo 3
E/S CIP Safety para o sistema Caractersticas gerais. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
de controle GuardLogix Funes de segurana tpicas dos dispositivos de E/S CIP Safety . . . . . . 27
Diagnsticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Dados de status. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Indicadores de status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Funo atraso na energizao ou atraso na desenergizao . . . . . . . . 28
Tempo de reao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Consideraes de segurana para os dispositivos E/S CIP Safety . . . . . . 29
Propriedade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Assinatura da configurao da E/S de segurana . . . . . . . . . . . . . . . . . 29
Substituio de segurana de E/S. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

Sumrio
Captulo 4
CIP Safety e nmero da rede Sistema de controle de CIP Safety rotevel. . . . . . . . . . . . . . . . . . . . . . . . . . 33
de segurana Referncia de n exclusivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Nmero da rede de segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Consideraes para atribuio do nmero da rede de
segurana (SNN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Nmero de rede de segurana (SNN) para tags de segurana
consumidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Nmero de segurana da rede (SNN) para dispositivos padro. . . . 36
Nmero da rede de segurana (SNN) para dispositivo de
segurana com um proprietrio de configurao diferente . . . . . . . . 36
Nmero da rede de segurana (SNN) ao copiar um projeto
de segurana. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Captulo 5
Caractersticas de tags de segurana, Diferenas entre padro e segurana. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
da tarefa de segurana e dos Aplicaes de segurana SIL 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Controle de segurana SIL 2 na tarefa de segurana . . . . . . . . . . . . . . 38
programas de segurana
Controle de segurana SIL 2 em tarefas-padro. . . . . . . . . . . . . . . . . . 41
Segurana SIL 3 a tarefa de segurana. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Limitaes da tarefa de segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Detalhes de execuo da tarefa de segurana . . . . . . . . . . . . . . . . . . . . . 42
Uso de interfaces homem-mquina . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Precaues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Acessando sistemas relacionados segurana . . . . . . . . . . . . . . . . . . . . 44
Programas de segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Rotinas de segurana. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Tags de segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Tags padro em rotinas de segurana (mapeamento de tags) . . . . . . 47
Captulo 6
Desenvolvimento da aplicao Suposies do conceito de segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
de segurana Noes bsicas do desenvolvimento e do teste de aplicativos. . . . . . . . . . 50
Comissionamento do ciclo de vida . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Especificao da funo de controle . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Criao do projeto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Teste o programa aplicativo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Gerao da assinatura da tarefa de segurana . . . . . . . . . . . . . . . . . . . . 53
Teste de verificao do projeto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Confirmao do projeto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
Validao da segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Travamento do controlador GuardLogix . . . . . . . . . . . . . . . . . . . . . . . 56
Download do programa aplicativo de segurana . . . . . . . . . . . . . . . . . . . . . 57
Upload do programa de segurana da aplicao. . . . . . . . . . . . . . . . . . . . . . 57
Edio on-line . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
Armazenamento e carregamento de um projeto de memria
no voltil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Force de dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Inibio de um dispositivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

Sumrio
Editando sua aplicao de segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

Realizao de edies off-line . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Realizao de edies on-line . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Teste de impacto de modificao. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Captulo 7
Monitorao de status e manuseio Monitorao do status do sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
de falhas Dados CONNECTION_STATUS . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
Diagnsticos de entrada e sada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Status da conexo do dispositivo de E/S . . . . . . . . . . . . . . . . . . . . . . . . 64
Sistema desenergizar para desarmar. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
Instrues GSV e SSV. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
Falhas do sistema GuardLogix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
Falhas no recuperveis do controlador . . . . . . . . . . . . . . . . . . . . . . . . . 66
Falhas de segurana irrecuperveis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
Falhas recuperveis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Apndice A
Instrues de segurana
Apndice B
Instrues add-on de segurana Criar e usar uma instruo add-on de segurana . . . . . . . . . . . . . . . . . . . . . 73
Criar um projeto de teste de instruo add-on . . . . . . . . . . . . . . . . . . . 75
Criar uma instruo add-on de segurana . . . . . . . . . . . . . . . . . . . . . . . 75
Gerar assinatura de instruo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
Download e gerar a assinatura de instruo de segurana . . . . . . . . . 76
Teste de qualificao de instruo Add-On SIL 3 . . . . . . . . . . . . . . . . 76
Confirmar o projeto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
Instrues Add-On de segurana validada. . . . . . . . . . . . . . . . . . . . . . . 77
Criar uma entrada de histrico de assinatura . . . . . . . . . . . . . . . . . . . . 77
Exportar e importar a instruo Add-on de segurana . . . . . . . . . . . . 77
Verificar assinaturas de instruo add-on de segurana . . . . . . . . . . . 77
Testar o programa aplicativo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Teste de verificao do projeto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Projeto validado de segurana. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Recursos adicionais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78

Sumrio
Apndice C
Tempos de reao Tempo de reao do sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
Tempo de reao do sistema Logix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
Cadeia entrada-lgica-sada simples . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
Cadeia de lgica usando tags de segurana produzidos/
consumidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
Fatores que afetam o tempo de reao do Logix . . . . . . . . . . . . . . . . . . . . . 82
Acessando configuraes do tempo de atraso do mdulo
de entrada Guard I/O. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
Acesso ao limite de tempo de reao de conexo de segurana
de entrada e sada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
Configurando o perodo da tarefa de segurana e watchdog. . . . . . . 84
Acessando dados de tags produzidos/consumidos . . . . . . . . . . . . . . . 85
Apndice D
Listas de verificao para as Lista de verificao para o sistema do controlador GuardLogix . . . . . . . 88
aplicaes de segurana do Lista de verificao para entradas de segurana . . . . . . . . . . . . . . . . . . . . . . 89
Lista de verificao para sadas de segurana. . . . . . . . . . . . . . . . . . . . . . . . . 90
GuardLogix
Lista de verificao para desenvolver um programa aplicativo
de segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Apndice E
Dados de segurana de sistemas Valores PFD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
GuardLogix Valores PFH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
Apndice F
Software RSLogix 5000, Verso 14 Sistema desenergizar para desarmar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
e posterior, Instrues da aplicao Uso de dados de status de conexo para iniciar uma falha
programaticamente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
de segurana
Apndice G
Usando mdulos 1794 FLEX I/O Entradas de canal duplo SIL 2 (lado padro de controladores
e entradas e sadas de 1756 SIL 2 GuardLogix) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
Sadas SIL 2 usando mdulos de sada SIL 3 Guard I/O. . . . . . . . . . . . . 103
com controladores 1756 GuardLogix
Sadas SIL 2 usando mdulos de sada 1756 ou 1794 SIL 2 . . . . . . . . . . 103
para cumprir com EN 50156 Funes de segurana na tarefa de segurana do 1756 GuardLogix . . . 104
Glossrio
ndice

Prefcio
Tpico Pgina
Ambiente Studio 5000 9
Terminologia 10
Recursos adicionais 10
Este manual destina-se a descrever o sistema de controladores GuardLogix 5570,

que homologado e certificado para uso em aplicaes de segurana at e
incluindo SIL CL 3 de acordo com IEC 61508 e IEC 62061, aplicaes de
segurana at e incluindo nvel de desempenho PLe (Categoria 4) de acordo
com ISO 13849-1.
Use este manual se for responsvel pelo desenvolvimento, operao ou

manuteno de um sistema de segurana com base em controlador
GuardLogix 5570 que usa aplicao Studio 5000 Logix Designer, verso 21.000
ou posterior. Voc deve ler e entender os conceitos e especificaes de segurana
apresentados neste manual antes de operar um sistema de segurana baseado em
controlador GuardLogix 5570.
Para especificaes de segurana relacionadas a controladores GuardLogix 5570

em projetos RSLogix 5000, consulte o Manual de referncia de segurana dos
controladores GuardLogix, publicao 1756-RM093.
Ambiente Studio 5000 O Studio 5000 Automation Engineering and Design Environment combina
elementos de engenharia e projeto em um ambiente comum. O primeiro
elemento no ambiente Studio 5000 a aplicao Logix Designer. A aplicao
Logix Designer a mudana de marca do software RSLogix 5000 e continua a
ser o produto para programar controladores Logix5000 para solues discretas,
de processos, de batelada, de movimento, de segurana e com base em inversores.
O ambiente Studio 5000 a base para o futuro das ferramentas de projetos de

engenharia e recursos da Rockwell Automation. o local para engenheiros de
projeto desenvolverem todos os elementos do seu sistema de controle.

Prefcio
Terminologia A tabela a seguir define os termos usados neste manual.
Tabela 1 Termos e definies

Abreviao Termo por extenso Definio
1oo2 One Out of Two Identifica arquitetura do controlador eletrnico programvel.
CIP Common Industrial Protocol Um protocolo de comunicao industrial usado por sistemas de automao com base em Logix5000
em redes de comunicao Ethernet/IP, ControlNet e DeviceNet.
CIP Safety Protocolo industrial comum Verso classificada de CIP SIL 3.
Segurana certificada
DC Cobertura de diagnstico A relao entre a taxa de falha detectada e a taxa de falha total.
EN Norma europeia. A norma oficial europeia.
GSV Obter valor do sistema Uma instruo de lgica ladder que recupera informaes de status do controlador especificado e as coloca
em um tag de destino.
PC Personal Computer Computador usado para fazer a interface e controlar um sistema baseado em Logix atravs do ambiente
Studio 5000.
PFD Probabilidade de falha sob solicitao A probabilidade mdia que um sistema tem de falhar ao executar sua funo quando solicitado.
PFH Probabilidade de falha por hora A probabilidade de um sistema ter uma falha perigosa por hora.
PL Nvel de desempenho Classificao de segurana ISO 13849-1.
SNN Nmero da rede de segurana Um nmero exclusivo que identifica uma seo de uma rede de segurana.
SSV Configurar valor do sistema Uma instruo de lgica ladder que define dados do sistema do controlador.
-- Padro Um objeto, tarefa, tag, programa ou componente em seu projeto que no est relacionado segurana
(ou seja, o controlador-padro refere-se genericamente a um controlador ControlLogix ou CompactLogix).
Recursos adicionais Esses documentos contm mais informaes sobre os produtos relacionados da
Rockwell Automation.
Recurso Descrio
GuardLogix 5570 Controllers User Manual, publicao 1756-UM022 Fornece informaes sobre como instalar, configurar, programar e usar os controladores GuardLogix 5570
nos projetos do Studio 5000 Logix Designer
GuardLogix Safety Application Instruction Set Reference Manual, Fornece informaes sobre o conjunto de instrues de aplicao de segurana do GuardLogix
publicao 1756-RM095
Guard I/O DeviceNet Safety Modules User Manual, Fornece informaes sobre como usar os mdulos Guard I/O DeviceNet Safety
publicao 1791DS-UM001
Guard I/O EtherNet/IP Safety Modules User Manual, Fornece informaes sobre como usar os mdulos de segurana Guard I/O EtherNet/IP
publicao 1791ES-UM001
POINT Guard I/O Safety Modules User Manual, publicao 1734-UM013 Fornece informaes sobre como instalar e usar os mdulos POINT Guard I/O
Kinetix 5500 Servo Drives User Manual, publicao 2198-UM001 Fornece informaes sobre como instalar e usar os servo-drives Kinetix 5500
Manual de referncia de segurana usando ControlLogix em aplicaes Descreve as especificaes para uso de controladores ControlLogix e tarefas-padro GuardLogix,
SIL 2, publicao 1756-RM001 em aplicaes de controle de segurana SIL 2
Logix5000 General Instruction Set Reference Manual, Fornece informaes sobre o conjunto de instrues do Logix5000
publicao 1756-RM003
Logix Common Procedures Programming Manual, Fornece informaes sobre a programao de controladores Logix5000, incluindo como gerenciar os
publicao 1756-PM001 arquivos dos projetos, organizar os tags, programar e testar rotinas e manusear falhas
Logix5000 Controllers Add-On Instructions Programming Manual, Fornece informaes sobre a criar e usar instrues add-on padro e de segurana em aplicaes Logix
publicao 1756-PM010
ControlLogix System User Manual, publicao 1756-UM001 Fornece informaes sobre como usar os controladores ControlLogix em aplicaes no seguras
DeviceNet Modules in Logix5000 Control Systems User Manual, Fornece informaes sobre como usar o mdulo 1756-DNB em um sistema de controle Logix5000
publicao DNET-UM004
EtherNet/IP Modules in Logix5000 Control Systems User Manual, Fornece informaes sobre como usar o mdulo 1756-ENBT em um sistema de controle Logix5000
publicao ENET-UM001

Prefcio
Recurso Descrio
ControlNet Modules in Logix5000 Control Systems User Manual, Fornece informaes sobre como usar o mdulo 1756-CNB em sistemas de controle Logix5000
publicao CNET-UM001
Logix5000 Controllers Execution Time and Memory Use Reference Manual, Fornece informaes sobre estimativa do tempo de execuo e uso de memria pelas instrues
publicao 1756-RM087
Logix Import Export Reference Manual, publicao 1756-RM084 Fornece informaes sobre como usar o utilitrio de importao/exportao do Logix Designer
Orientaes sobre fiao e aterramento de automao industrial, Fornece orientaes gerais para a instalao do sistema industrial Rockwell Automation
publicao 1770-4.1
Website de certificaes do produto, http://www.ab.com Fornece declaraes de conformidade, certificados e outros detalhes de certificao
possvel consultar ou fazer o download de publicaes em

http://www.rockwellautomation.com/literature/. Para solicitar cpias impressas
da documentao tcnica, entre em contato com seu distribuidor Allen-Bradley
ou representante de vendas Rockwell Automation local.

Prefcio
Observaes:

Captulo 1
Conceito de nvel de integridade de segurana

(SIL)
Tpico Pgina
Certificao SIL 3 13
Testes de prova 14
Arquitetura GuardLogix para aplicaes SIL 3 15
Componentes do sistema GuardLogix 16
Certificaes GuardLogix 18
Especificaes de PFD e de PFH do GuardLogix 18
Distribuio e peso em conformidade com o nvel de integridade de segurana (SIL) 19
Tempo de reao do sistema 19
Perodo da tarefa de segurana e watchdog da tarefa de segurana 20
Informaes de contato se ocorrer uma falha do equipamento 20
Certificao SIL 3 Os sistemas controladores GuardLogix 5570 so do tipo aprovado e certificado

para uso em aplicaes de segurana at e incluindo o SIL CL3 conforme
IEC 61508 e IEC 62061, aplicaes de segurana at e incluindo Nvel de
Desempenho PLe (Categoria 4) segundo ISO 13849-1. Os requisitos de SIL
so baseados em padres vigentes no momento da certificao.
IMPORTANTE Quando o controlador GuardLogix estiver em modo de execuo ou de

programa, e o programa de aplicao no tiver sido validado, voc
responsvel por manter as condies de segurana.
E ainda, as tarefas-padro dos controladores GuardLogix podem ser usadas tanto

para aplicaes-padro quanto para aplicaes de segurana SIL 2, conforme
descrito em Manual de referncia usando ControlLogix em SIL 2, publicao
1756-RM001. Em qualquer dos casos, no use SIL 2 ou tarefas-padro e variveis
para construir malhas de segurana de um nvel maior. A tarefa de segurana a
nica tarefa certificada para aplicaes SIL 3.
Use a aplicao Studio 5000 Logix Designer para criar programas para os
controladores GuardLogix 5570.

Captulo 1 Conceito de nvel de integridade de segurana (SIL)
O TV Rheinland aprovou os sistemas do controlador GuardLogix 5570

para uso em aplicaes relacionadas segurana at o SIL CL 3, nas quais
o estado desenergizado considerado como o estado seguro. Todos os
exemplos relacionados E/S includos neste manual so baseados em atingir
a desenergizao como o estado seguro para sistemas ESD (Machine Safety
e Emergency Shutdown, segurana da mquina e encerramento de emergncia)
tpicos.
IMPORTANTE Como usurio do sistema, voc responsvel pelo seguinte:

Configurao, classificao de SIL e validao de sensores ou atuadores
conectados ao sistema GuardLogix
Gesto do projeto e testes funcionais
Controle de acesso ao sistema de segurana, incluindo o manuseio de
senhas
Programao da aplicao e das configuraes do dispositivo de
acordo com as informaes deste manual de referncia de segurana
e do Manual do usurio dos controladores GuardLogix 5570,
publicao 1756-UM022
Ao aplicar a Segurana Funcional, restrinja o acesso ao pessoal autorizado,

qualificado, treinado e experiente. A funo de trava de segurana, com as senhas,
fornecida na aplicao Logix Designer.
Para informaes sobre como usar a funo de trava de segurana, consulte

o GuardLogix 5570 Controllers User Manual, publicao 1756-UM022.
Testes de prova O IEC 61508 exige que voc execute vrios testes de prova do equipamento
usado no sistema. Os testes de prova so executados em horas definidas pelo
usurio. Por exemplo, os intervalos dos testes de prova podem ocorrer uma vez
por ano, uma vez a cada quinze anos ou qualquer outro intervalo apropriado.
Os controladores GuardLogix 5570 tm um intervalo de teste de prova de at

20 anos. Outros componentes do sistema como dispositivos de segurana E/S,
sensores e atuadores podem ter um intervalo de teste de prova menor. Inclua o
controlador no teste de verificao funcional dos outros componentes no sistema
de segurana.
IMPORTANTE Suas aplicaes especficas determinam o intervalo do teste de prova.

No entanto, esse intervalo est relacionado principalmente aos dispositivos
de E/S de segurana e instrumentao de campo.

Conceito de nvel de integridade de segurana (SIL) Captulo 1
Arquitetura GuardLogix A ilustrao a seguir mostra uma funo SIL tpica, incluindo o seguinte:
para aplicaes SIL 3 a funo de segurana geral
a parte do GuardLogix da funo de segurana geral
como outros dispositivos (por exemplo, IHM) esto conectados, mesmo
operando fora da funo
Figura 1 Funo SIL tpica

Software de programao IHM
Acesso somente leitura aos tags de segurana
Para rede Ethernet em toda a fbrica
Switch
Funo de segurana geral
Sistema GuardLogix SIL 3

DeviceNet
Mdulo de E/S
CIP Safety
1756-L7SP
1756-L7xS
1756-EN2T
1756-DNB
Atuador
Sensor
Rede DeviceNet Safety
Mdulo de E/S
Mdulo de E/S CIP Safety CIP Safety
em rede Ethernet
Atuador
Sensor
CIP Safety
Mdulo de E/S CIP Safety

em rede Ethernet
Atuador
Controlador GuardLogix compacto com mdulo 1768-ENBT
Sensor
Sistema GuardLogix SIL 3 compacto

Componentes do sistema As tabelas nesta seo relacionam os componentes GuardLogix certificados por
SIL 3 e os componentes no certificados por SIL 3 que podem ser usados com os
GuardLogix sistemas GuardLogix SIL 3.
Para obter a lista mais recente das verses de firmware e das sries certificadas
do GuardLogix e dos dispositivos certificados de E/S CIP Safety, consulte
http://www.rockwellautomation.com/products/certification/safety/.
As verses de firmware esto disponveis em
http://support.rockwellautomation.com/ControlFLASH/.
Tabela 2 Componentes GuardLogix certificados para SIL 3
Documentao relacionada(3)
Instrues de Manual do usurio
Tipo de dispositivo Cd. cat. Descrio instalao
1756-L71S Controlador com 2 MB padro, 1 MB de memria de
segurana
1756-L72S Controlador com padro de 4 MB, 2 MB de memria de
Controlador primrio segurana
1756 GuardLogix Com ambiente Studio 5000, verso 21
(ControlLogix5570S) 1756-L73S Controlador com padro de 8 MB, 4 MB de memria de
ou posterior: 1756-UM022
segurana N/A(4) Com o software RSLogix 5000, verso 20
1756-L73SXT Controlador (XT) com padro de 8 MB, 4 MB de memria ou anterior: 1756-UM020
de segurana
1756 GuardLogix 1756-L7SP Parceiro de Segurana
parceiro de segurana
(ControlLogix557SP) 1756-L7SPXT Parceiro de segurana (XT)
1756-L61S Controlador com 2 MB padro, 1 MB de memria de

segurana
1756 GuardLogix
controlador primrio 1756-L62S Controlador com 4 MB padro, 1 MB de memria de
(ControlLogix5560S)(1) segurana
1756-L62S Controlador com 8 MB padro, 3,75 MB de memria de N/A(4) 1756-UM020
segurana
1756 GuardLogix 1756-LSP Parceiro de Segurana
(ControlLogix55SP)(1)
Controlador GuardLogix 1768-L43S Controlador com suporte para dois mdulos 1768 N/A(4) 1768-UM002
Compacto 1768
(CompactLogix4xS)(2) 1768-L45S Controlador com suporte para quatro mdulos 1768
1791DS-IN001
Mdulos de E/S CIP Safety 1791DS-IN002 1791DS-UM001
em redes DeviceNet
Para obter uma lista mais atualizada das sries e verses de firmware 1732DS-IN001
certificadas, consulte o certificado de segurana em
Mdulos de E/S CIP Safety 1791ES-IN001 1791ES-UM001
http://www.rockwellautomation.com/products/certification/safety/
em redes EtherNet/IP
Mdulos POINT Guard I/O N/A(4) 1734-UM013
Servo-drives Kinetix 5500 Para obter uma lista mais atualizada das sries e verses de firmware 2198-IN001 2198-UM001
(cdigos de catlogos que certificadas, consulte o certificado de segurana em
terminam em -ERS2) http://www.rockwellautomation.com/products/certification/safety/
(1) Certificado para o uso com o software RSLogix 5000, verso 14 e verso 16 e posterior.
(2) Certificado para uso com o software RSLogix 5000, verso 18 e posterior.
(3) Estas publicaes esto disponveis na Rockwell Automation em http://www.rockwellautomation.com/literature.
(4) Consulte o manual do usurio para instrues de instalao.

Tabela 3 Componentes adequados para utilizao com os sistemas de segurana do controlador GuardLogix 1756
Documentao relacionada(3)
Tipo de Instrues de Manual do
dispositivo Cd. cat. Descrio Srie(1) Reviso(1) instalao usurio
1756-A4 Rack de 4 slots
1756-A10 Rack de 10 slots B N/A
Rack 1756-A17 Rack de 17 slots 1756-IN005 N/A
1756-A4LXT Rack XT de 4 slots B N/A
1756-A5XT Rack XT de 5 slots
1756-A7XT Rack XT de 7 slots
1756-A7LXT Rack XT de 7 slots
1756-PA72 Fonte de alimentao, CA C
1756-PB72 Fonte de alimentao, CC C
Fonte de 1756-PA75 Fonte de alimentao, CA B
N/A 1756-IN005 N/A
Alimentao 1756-PB75 Fonte de alimentao, CC B
1756-PAXT Fonte de alimentao XT, CA B
1756-PBXT Fonte de alimentao XT, CC B
1756-ENBT Ponte EtherNet/IP A 3.006
1756-EN2T A 2.005
1756-EN2F A 2.005
1756-EN2TR C 10.007 ENET-IN002 ENET-UM001
1756-EN3TR B 10.007
1756-EN2TXT Ponte XT EtherNet/IP (cobre) C 5.007
Mdulos de 1756-EN2TRXT C 10.006
comunicao 1734-AENT Adaptador Ethernet POINT I/O A 3.001 1734-IN590 1734-UM011
1756-DNB Ponte DeviceNet A 6.002 DNET-IN001 DNET-UM004
1756-CN2 Ponte ControlNet A 12.001
1756-CN2R Ponte ControlNet, mdia redundante A 12.001 CNET-IN005 CNET-UM001
1756-CN2RXT Ponte XT ControlNet, mdia redundante B 20.020
Software RSLogix 5000 para controladores GuardLogix 5560 14(2)
Software de 9324-xxxx Consulte a ajuda
programao Software RSLogix 5000 para controladores GuardLogix 5570 (XT) N/A 20 N/A on-line.
9324-xxxx Ambiente Studio 5000 para controladores GuardLogix 5570 (XT) 21
Cartes de 1784-CF64 Carto CompactFlash de 128 MB para controladores
memria GuardLogix 5560
1784-SD1 Carto Secure Digital (SD) de 1 GB para controladores N/A N/A N/A N/A
GuardLogix 5570
1784-SD2 Carto Secure Digital (SD) de 2 GB para controladores
GuardLogix 5570
(1) Esta verso ou posterior.
(2) Software RSLogix 5000, verso 15, no suporta controladores de segurana GuardLogix.
(3) Essas publicaes esto disponveis na Rockwell Automation em http://www.rockwellautomation.com/literature.
Voc pode preencher os slots de um rack de sistema SIL 3 que no so usados

pelo sistema GuardLogix SIL 3 com outros mdulos ControlLogix (1756)
certificados para baixa tenso e diretrizes EMC.
IMPORTANTE Os componentes do sistema ControlLogix-XT so classificados para condies

ambientais extremas apenas quando usados adequadamente com outros
componentes de sistema Logix-XT. O uso de componentes ControlLogix-XT
com componentes de sistema tradicional ControlLogix ou GuardLogix anula
classificaes de ambiente extremo.
Para encontrar certificados para a Famlia de produtos programveis

ControlControlLogix, consulte
http://www.rockwellautomation.com/products/certification/ce/.

Certificaes GuardLogix Os dados tcnicos dos controladores ControlLogix, publicao 1756-TD001,

lista as especificaes de produtos e certificaes de agncia para as quais os
produtos esto aprovados. Se um produto tiver conseguido uma certificao
da agncia, ele marcado como tal na rotulao do produto.
Consulte a Certificao do Produto no link
http://www.rockwellautomation.com/products/certification/ para obter as
Declaraes de Conformidade, os Certificados e outros detalhes de certificao.
Especificaes de PFD e de Os sistemas de segurana podem ser classificados como sistemas que funcionam
no modo de poucas solicitaes ou no modo contnuo/de muitas solicitaes.
PFH do GuardLogix O IEC 61508 quantifica essa classificao determinando que a frequncia das
demandas pelo funcionamento do sistema de segurana no maior do que uma
vez por ano no modo de poucas solicitaes ou maior do que uma vez por ano
no modo contnuo/de muitas solicitaes.
O valor do Safety Integrity Level (SIL) de um sistema de segurana de poucas

solicitaes est diretamente relacionado s faixas de ordem de grandeza da
probabilidade mdia de falha relacionada execuo satisfatria da funo de
segurana sob solicitao ou, simplesmente, probabilidade de falha sob
solicitao (PFD). O valor de SIL para um sistema de segurana de modo
contnuo/de muitas solicitaes est diretamente relacionado probabilidade
da ocorrncia de uma falha perigosa por hora (PFH).
Os valores de PFD e PFH esto associados a cada um dos trs principais

elementos que constituem o sistema relacionado segurana (os sensores,
o elemento de lgica e atuadores). Dentro do elemento de lgica, voc tambm
encontra elementos de entrada, do processador e de sada.
Para valores PFD e PFH e intervalos de teste de prova para os mdulos

Guard I/O, consulte Apndice E, Dados de segurana de sistemas GuardLogix.
Figura 2 Exemplo de PFH

1791DS-IB12
Sensor Controlador GuardLogix
Logix5562S Logix55LSP DeviceNet EtherNet 1791DS-IB4XOX4

MALHA 1
Atuador
Atuador
MALHA 2
Sensor
Sensor
1791DS-IB8XOB8

Para determinar o PFH do elemento lgico de cada malha de segurana no

exemplo de sistema simples mostrado no Exemplo de PFH, some os valores de
PFH de cada componente na malha. A tabela Equaes de PFH por malha de
segurana fornece um exemplo simplificado de clculos de valor de PFH para
cada malha de segurana mostrada na ilustrao de exemplo de PFH.
Tabela 4 Equaes de PFH por malha de segurana

Para esta malha Some os valores PFH destes componentes
PFH total da malha 1 = 1791DS-IB12 + controlador GuardLogix + 1791DS-IB4XOX4
PFH total da malha 2 = 1791DS-IB8XOB8 + controlador GuardLogix + 1791DS-IB4XOX4
Ao calcular os valores de PFH, voc deve considerar os requisitos especficos da

sua aplicao, incluindo os intervalos de teste.
Distribuio e peso em O controlador GuardLogix e o sistema de E/S podem ser considerados, de forma
conservadora, responsveis por 10% da carga de confiabilidade. Um sistema SIL 3
conformidade com pode precisar incorporar vrias entradas para sensores crticos e dispositivos
o nvel de integridade de entrada, alm de sadas duplas conectadas em srie a atuadores duplos
de segurana (SIL) dependentes de avaliaes de SIL para o sistema relacionado segurana.
Figura 3 Carga de Confiabilidade

10% do PFD +V
40% do Sensor
Controlador Atuador
PFD Mdulo Mdulo
de de sada
entrada
Sensor Atuador
50% do PFD
Tempo de reao do sistema O tempo de reao do sistema a quantidade de tempo desde um evento
relacionado segurana como uma entrada no sistema at as sadas
correspondentes ao estado seguro serem definidas pelo sistema. As falhas
dentro do sistema tambm podem afetar o tempo de reao do sistema.
O tempo de reao do sistema a soma dos seguintes tempos de reao:
Tempo de Tempo de Tempo de rea- Tempo de Tempo de
reao do + reao da + o da tarefa + reao da + reao do
sensor entrada de segurana sada atuador
Cada um dos tempos de reao dependente de forma varivel do tipo de

dispositivo de E/S e das instrues usadas no programa.

Tempo de reao da tarefa de segurana
O tempo de reao da tarefa de segurana o pior caso de atraso de qualquer

alterao na entrada apresentada ao controlador at que a sada processada seja
definida pelo produtor da sada. inferior ou igual soma do Perodo da Tarefa
de Segurana e do Watchdog da Tarefa de Segurana.
Perodo da tarefa de segurana e watchdog da tarefa de segurana
O perodo da tarefa de segurana o intervalo no qual a tarefa de segurana

executada.
O tempo do watchdog da tarefa de segurana o tempo mximo permitido para

o processamento da tarefa de segurana. Se o tempo de processamento da tarefa
de segurana ultrapassar o tempo do watchdog da tarefa de segurana, uma
falha de segurana no recupervel ocorrer no controlador e as sadas sero
transicionadas para o estado seguro (desligado) automaticamente.
Voc define o watchdog da tarefa de segurana que deve ser menor ou igual ao
perodo da tarefa de segurana.
O tempo do watchdog da tarefa de segurana definido na janela de propriedades

da tarefa da aplicao Logix Designer. Esse valor pode ser modificado on-line
independentemente do modo do controlador, mas no pode ser alterado quando
o controlador estiver travado por segurana ou uma vez que uma assinatura de
segurana for criada.
Informaes de contato Se ocorrer uma falha em qualquer dispositivo certificado por SIL 3, entre em
contato com o distribuidor local da Allen-Bradley para iniciar as seguintes aes:
se ocorrer uma falha do
Voc pode devolver o dispositivo para a Rockwell Automation para que
equipamento a falha seja apropriadamente armazenada no cdigo de catlogo afetado
e registrada.
Pode-se solicitar uma anlise da falha (se necessrio) para tentar determinar
a causa da falha.

Captulo 2
Sistema do controlador GuardLogix
Tpico Pgina
Hardware do controlador GuardLogix 5570 21
Protocolo CIP Safety 22
Dispositivos de E/S de segurana 23
Pontes de comunicao 23
Caractersticas gerais de programao 25
Para obter uma lista resumida dos componentes adequados para o uso no
Nvel de Integridade de Segurana (SIL) 3, consulte a tabela na pgina 16.
Para obter informaes detalhadas e atualizadas consulte o endereo
Quando instalar um controlador GuardLogix 5570, siga as informaes

no Manual do usurio dos controladores GuardLogix 5570,
publicao 1756-UM022.
Hardware do controlador O controlador GuardLogix consiste em um controlador primrio

(ControlLogix 557xS) e um parceiro de segurana (ControlLogix 557SP).
GuardLogix 5570 Estes dois mdulos trabalham em uma arquitetura 1oo2 para criar um
controlador capaz de SIL 3. Eles sero descritos nas prximas sees.
Tanto o Controlador Primrio quanto o Parceiro de Segurana executam testes

de diagnstico funcional de energizao e de tempo de execuo de todos os
componentes de segurana no controlador.
Para detalhes sobre a operao dos indicadores de status, consulte o Manual do

usurio dos controladores GuardLogix 5570, publicao 1756-UM022.
IMPORTANTE Os indicadores de Status no so indicadores confiveis para funes

de segurana. Use-os apenas para diagnstico geral durante o
comissionamento ou localizao de falhas. No tente usar os indicadores
de status para determinar o status de operao.
Para uma lista de cdigos de catlogo de controladores de segurana GuardLogix,

consulte Tabela 2 na pgina 16. Para uma lista de componentes-padro
ControlLogix adequados para aplicaes de segurana, consulte Tabela 3 na
pgina 17.

Captulo 2 Sistema do controlador GuardLogix
Controlador primrio
O controlador principal o processador que executa as funes de controle

padro e de segurana e que se comunica com o parceiro de segurana para
executar funes de segurana no sistema de controle GuardLogix. O controlador
principal consiste em um processador central, uma interface de E/S e uma
memria.
Parceiro de segurana
Para satisfazer as especificaes de SIL 3, um parceiro de segurana deve ser

instalado no slot imediatamente direita do controlador primrio. O Parceiro
de Segurana um coprocessador que fornece redundncia para funes de
segurana no sistema.
O controlador primrio configura o parceiro de segurana. necessrio apenas

um download do programa de usurio para o controlador primrio. O modo de
funcionamento do parceiro de segurana controlado pelo controlador primrio.
Rack
O rack fornece as conexes fsicas entre os mdulos e o sistema 1756 GuardLogix.

Qualquer falha, apesar de pouco provvel, seria detectada como uma falha por
um ou mais componentes ativos do sistema. Por isso, o rack no relevante para
a discusso da segurana.
Os controladores GuardLogix-XT devem usar um rack ControlLogix-XT para

adquirir uma classificao de ambiente extremo.
Fontes de alimentao
Nenhuma outra configurao ou fiao necessria para a operao do SIL 3
das fontes de alimentao ControlLogix. Qualquer falha seria detectada como
uma falha por um ou mais componentes ativos do sistema GuardLogix. Por isso,
a fonte de alimentao no relevante para a discusso da segurana.
Os controladores GuardLogix-XT devem usar uma fonte de alimentao

ControlLogix-XT para adquirir uma classificao de ambiente extremo.
Protocolo CIP Safety A comunicao relacionada segurana entre controladores GuardLogix ocorre
por meio de tags de segurana produzidos e consumidos. Esses tags de segurana
usam o protocolo CIP Safety, que designado para preservar a integridade dos
dados durante a comunicao.
Para obter mais informaes sobre tags de segurana, consulte Captulo 5,

Caractersticas de tags de segurana, da tarefa de segurana e dos programas de
segurana.

Sistema do controlador GuardLogix Captulo 2
Dispositivos de E/S de Para obter mais importaes sobre os dispositivos E/S CIP Safety para utilizao
com os controladores GuardLogix, consulte Captulo 3.
segurana
Pontes de comunicao A Tabela 5 lista os mdulos de interface de comunicao disponveis para facilitar
a comunicao em redes EtherNet/IP, DeviceNet e ControlNet pelo protocolo
CIP Safety.
Tabela 5 Mdulos de interface de comunicao por sistema

Sistema GuardLogix Mdulos de comunicao
1756 Ponte 1756-ENBT, 1756-EN2T(R), 1756-EN2F ou 1756-EN3TR EtherNet/IP
Adaptador 1734-AENT POINT I/O Ethernet
Ponte 1756-DNB DeviceNet
Ponte 1756-CN2 ControlNet
Ponte 1756-CN2R ControlNet redundante
1756 -XT Ponte 1756-EN2TXT, 1756-EN2TRXT EtherNet/IP XT (cobre)
Ponte 1756-CN2RXT XT ControlNet redundante
1768 1768-ENBT
Adaptador 1734-AENT POINT I/O Ethernet
1768-CNB
1768-CNBR
IMPORTANTE Devido ao projeto do sistema de controle CIP Safety, os dispositivos de

ponte de CIP Safety, como as pontes listadas na tabela, no precisam ser
certificados para SIL 3.
Rede EtherNet/IP
A comunicao de segurana peer-to-peer entre os controladores GuardLogix

possvel pela rede EtherNet/IP atravs do uso de pontes EtherNet/IP. Uma ponte
EtherNet/IP permite que o controlador GuardLogix controle e troque dados de
segurana com os dispositivos E/S CIP Safety em uma rede EtherNet/IP.
Figura 4 Comunicao peer to peer por meio das pontes EtherNet/IP e da rede EtherNet/IP
Switch EtherNet
Rede Rede
EtherNet/IP EtherNet/IP

1756-EN2T
1756-EN2T
1756-PB75
1756-L7SP
1756-L7SP
1756-L73S
1756-L72S
1756-DNB
Controlador B
Controlador A
Rede DeviceNet

DICA A comunicao de segurana peer-to-peer entre dois controladores

GuardLogix no mesmo rack tambm possvel por meio do backplane.
Backplane
1756-L7SP
1756-L7SP
1756-L72S
1756-L72S
Rede DeviceNet Safety
As pontes DeviceNet permitem que o controlador GuardLogix controle

e troque os dados de segurana com os mdulos de E/S CIP Safety em uma
rede DeviceNet.
Figura 5 Comunicao atravs de uma ponte DeviceNet
1756-L7SP
1756-L72S
1756-DNB
Rede Mdulo de E/S CIP Safety

DeviceNet
Rede ControlNet
As pontes ControlNet permitem que o controlador GuardLogix produza

e consuma tags de segurana nas redes ControlNet para outros controladores
GuardLogix ou redes remotas CIP Safety I/O.
Figura 6 Comunicao atravs de uma ponte ControlNet

Rede ControlNet
1756-OB16
1756-PB75
1756-L7SP
Controlador A
1756-DNB
1756-L73S
1756-IB16
1756-CN2
1768-CN2
Controlador B
Mdulo de E/S CIP Safety Rede DeviceNet

Sistema do controlador GuardLogix Captulo 2
Caractersticas gerais Programe os controladores GuardLogix 5570 usando a aplicao Studio 5000
Logix Designer.
de programao
Use a aplicao Logix Designer para definir a localizao, propriedade e
configurao dos dispositivos de E/S e controladores assim como para criar,
testar e depurar a lgica do programa. Apenas a lgica ladder de rel tem
suporte na tarefa de segurana GuardLogix.
Consulte Apndice A para informaes sobre o conjunto de instrues de lgica

disponveis para os projetos de segurana.
O pessoal autorizado pode alterar um programa de segurana, mas apenas usando

um dos processos descritos em Editando sua aplicao de segurana na pgina 59.

Observaes:

Captulo 3
E/S CIP Safety para o sistema de controle

GuardLogix
Tpico Pgina
Caractersticas gerais 27
Funes de segurana tpicas dos dispositivos de E/S CIP Safety 27
Tempo de reao 28
Consideraes de segurana para os dispositivos E/S CIP Safety 29
Caractersticas gerais Antes de operar um sistema de segurana GuardLogix 5570 que contm
dispositivos de E/S CIP Safety, voc deve ler, compreender e seguir as
informaes de instalao, de operao e de segurana fornecidas nas publicaes
listadas nas tabelas Componentes GuardLogix certificados para SIL 3 da
pgina 16.
Os dispositivos de E/S CIP Safety podem ser conectados a dispositivos de entrada

e de sada de segurana, como sensores e atuadores, que permitam que esses
dispositivos sejam monitorados e controlados pelo controlador GuardLogix.
Para dados de segurana, a comunicao E/S feita por meio de conexes de
segurana usando o protocolo CIP Safety; a lgica de segurana processada no
controlador GuardLogix.
Funes de segurana A seguir, o estado seguro pelos dispositivos de E/S CIP Safety:
tpicas dos dispositivos Sadas de segurana: OFF
de E/S CIP Safety Dados de entrada de segurana para o controlador: OFF
Rede CIP Safety
Status da
segurana
Dados de
Sada de segurana, entrada de
desenergizada segurana
Use os dispositivos de E/S CIP Safety para aplicaes que estiverem no estado
seguro quando a sada de segurana for desenergizada.

Captulo 3 E/S CIP Safety para o sistema de controle GuardLogix
Diagnsticos
Os dispositivos de E/S CIP Safety executam autodiagnsticos quando a

alimentao ligada e periodicamente durante a operao. Caso um diagnstico
de falha seja detectado, os dados de entrada de segurana (para o controlador)
e as sadas de segurana sero definidas para o estado seguro (OFF).
Dados de status
Alm de dados de entrada e de sada de segurana, os dispositivos de E/S CIP

Safety apresentam dados de status para monitorar as condies do dispositivos e
dos circuitos de E/S. Consulte sua documentao de produto do dispositivo das
capacidades especficas do produto.
Indicadores de status
Os dispositivos de E/S CIP Safety possuem indicadores de status. Para obter

detalhes sobre a operao dos indicadores de status, consulte a documentao
do produto do dispositivo especfico.
Funo atraso na energizao ou atraso na desenergizao

Alguns dispositivos de E/S CIP Safety podem suportar funes de atraso na
energizao e de atraso na desenergizao para sinais de entrada. Dependendo
da sua aplicao, voc pode precisar incluir o atraso na desenergizao, atraso
na desenergizao ou ambos quando calcular o tempo de reao do sistema.
Consulte o Apndice C para obter informaes sobre o tempo de reao do

sistema.
Tempo de reao O tempo de reao da entrada o perodo desde quando o sinal muda em
um terminal de entrada at quando os dados de segurana so enviados para
o controlador GuardLogix.
O tempo de reao da sada o perodo desde que os dados de segurana so

recebidos do controlador GuardLogix at o terminal de sada mudar de estado.
Para obter informaes sobre como determinar os tempos de reao de entrada

e de sada, consulte a documentao do produto do seu dispositivo de E/S CIP
Safety especfico.
Consulte o Apndice C para obter informaes sobre como calcular tempo de

reao do sistema.

E/S CIP Safety para o sistema de controle GuardLogix Captulo 3
Consideraes de Voc deve comissionar todos os dispositivos com um n ou endereo IPe taxa de
comunicao, se necessrio, antes de sua instalao na rede de segurana.
segurana para os
dispositivos E/S CIP Safety
Propriedade
Cada dispositivo de E/S CIP Safety em um sistema GuardLogix de propriedade

de um controlador GuardLogix. Os mltiplos controladores GuardLogix e os
dispositivos de E/S CIP Safety podem ser usados sem restries em racks ou
em redes, conforme necessrio. Quando um controlador proprietrio de um
dispositivo de E/S, ele armazena os dados de configurao do dispositivo,
conforme definido pelo usurio. Essa configurao controla a forma como os
dispositivos funciona no sistema.
Do ponto de vista de controle, os dispositivos de sada de segurana podem ser

controlados por um nico controlador. Cada dispositivo de entrada de segurana
tambm pertence a um nico controlador; entretanto, os dados de entrada de
segurana podem ser compartilhados (consumidos) por vrios controladores
GuardLogix.
Assinatura da configurao da E/S de segurana

A assinatura de configurao define a configurao do dispositivo. Ela pode
ser lida e monitorada. A assinatura de configurao usada para identificar
exclusivamente a configurao de um dispositivo. Ao usar um controlador
GuardLogix, voc no precisar monitorar esta assinatura. O controlador
GuardLogix monitora a assinatura automaticamente.
Substituio de segurana de E/S

A substituio dos dispositivos de segurana exige que o dispositivo de
substituio seja configurado adequadamente e que a operao do dispositivo
de substituio seja verificada pelo usurio.
ATENO: Durante a substituio do teste funcional de um dispositivo,

a segurana do sistema no deve depender de nenhuma parte do dispositivo
afetado.

Duas opes para a substituio do dispositivo de E/S esto disponveis na guia

Safety da caixa de dilogo Controller Properties na aplicao Logix Designer:
Configurar somente quando no houver nenhuma assinatura de segurana
Configurar sempre
Figura 7 Opes de substituio de segurana de E/S
Configurar somente quando no houver nenhuma assinatura de segurana
Esta configurao instrui o controlador GuardLogix a configurar um dispositivo

de segurana somente quando a tarefa de segurana no tiver uma assinatura de
tarefa de segurana e o mdulo de substituio estiver em uma condio padro,
ou seja, o nmero da rede de segurana no existe na substituio do dispositivo
de segurana.
Se a tarefa de segurana tem uma assinatura de tarefa de segurana, o controlador

GuardLogix configura apenas o dispositivo de E/S CIP Safety de substituio se
o seguinte for verdade:
O dispositivo j tem o nmero de rede de segurana correto.
A codificao eletrnica do dispositivo est correta.
O n ou endereo IP est correto.

E/S CIP Safety para o sistema de controle GuardLogix Captulo 3
Configurar sempre
O controlador GuardLogix sempre tenta configurar um dispositivo de E/S CIP

Safety de substituio se ele estiver em uma condio padro, ou seja, em que
o nmero da rede de segurana no existe no dispositivo de segurana de
substituio e o nmero do n e a codificao do dispositivo de E/S corresponda
configurao do controlador.
ATENO: Habilite o recurso Configurar sempre apenas se todo o sistema de

controle CIP Safety rotevel for responsvel por manter o comportamento do
SIL 3 durante a substituio e o teste funcional de um dispositivo.
Se outras partes do sistema de controle CIP Safety estiverem sendo responsveis
por manter o SIL 3, verifique se o recurso Configurar sempre do controlador foi
desabilitado.
sua responsabilidade implementar um processo para garantir que
a funcionalidade de segurana apropriada seja mantida durante a substituio
do dispositivo.
ATENO: No coloque dispositivos na condio fora da caixa em nenhuma

rede CIP Safety quando a funo Configure Always estiver habilitada, exceto
durante o procedimento de substituio do dispositivo no GuardLogix5570
Controllers User Manual, publicao 1756-UM022.

Observaes:

Captulo 4
CIP Safety e nmero da rede de segurana
Tpico Pgina
Sistema de controle de CIP Safety rotevel 33
Consideraes para atribuio do nmero da rede de segurana (SNN) 35
Sistema de controle de Para entender os requisitos de segurana de um sistema de controle CIP Safety,
incluindo o SNN (nmero da rede de segurana), voc deve primeiro
CIP Safety rotevel compreender como as comunicaes so roteveis nos sistemas de controle
CIP. O sistema de controle CIP Safety representa um conjunto de dispositivos
CIP Safety interconectados. O sistema rotevel representa a extenso potencial
do roteamento incorreto de pacotes de um originador para um alvo dentro do
sistema de controle CIP Safety. O sistema isolado de forma que no haja outras
conexes no sistema. Por exemplo, como o sistema na Figura 8 no pode ser
interconectado a outro sistema CIP Safety atravs de um backbone de Ethernet
maior em toda a fbrica, ele ilustra a extenso de um sistema CIP Safety rotevel.
Figura 8 Exemplo de sistema CIP Safety
Roteador/
Switch Switch
Firewall(1)
1756-EN2T
1756-L7SP
1756-L71S
1768-ENBT
1768-ENBT
1756-DNB
1756-OB16
1768-L43S
1756-EN2T
1768-PB3
1769-ECR
1756-IB16
1756-DNB
SmartGuard
E/S CIP Safety
E/S CIP Safety E/S CIP Safety E/S CIP Safety E/S CIP Safety
E/S CIP Safety E/S CIP Safety E/S CIP Safety
(1) O roteador ou o firewall configurado para limitar o trfego.

Captulo 4 CIP Safety e nmero da rede de segurana
Referncia de n exclusivo
O protocolo CIP Safety um protocolo de segurana de n final a n final.

O protocolo CIP Safety permite o roteamento de mensagens de Segurana CIP
pelos dispositivos CIP Safety atravs de pontes, chaves e roteadores no
certificados.
Para impedir que erros em pontes, chaves ou roteadores no certificados se

tornem perigosos, cada n final em um sistema de controle CIP Safety rotevel
deve ter uma referncia de n exclusiva. A referncia de n exclusiva uma
combinao de um SNN e do Endereo de N.
Nmero da rede de segurana
O nmero da rede de segurana (SNN) automaticamente atribudo pelo

software ou manualmente pelo usurio. Cada rede CIP Safety que contm os
ns de E/S de segurao dev ter pelo menos um SNN exclusivo. Cada rack que
contenha um ou mais dispositivos de segurana deve ter pelo menos um SNN
exclusivo. Os nmeros da rede de segurana que so atribudos a cada rede de
segurana ou sub-rede da rede devem ser exclusivos.
DICA Mltiplos SNNs podem ser atribudos a uma sub-rede CIP Safety ou a um
rack que contenha vrios dispositivos de segurana. Porm, para simplificar,
recomendamos que cada sub-rede CIP Safety tenha um, e apenas um,
SNN exclusivo. Essa recomendao tambm se aplicar a cada rack.
Figura 9 Exemplo CIP Safety com mais de um SNN
Roteador/
Firewall Switch Switch
1756-EN2T
1756-L7SP
1756-L71S
1768-ENBT
1768-ENBT
1756-DNB
1756-OB16
1768-L43S
1756-EN2T
1768-PB3
1769-ECR
1756-IB16
1756-DNB
SmartGuard
E/S CIP Safety
SNN_1 SNN_3 SNN_5
E/S CIP Safety E/S CIP Safety E/S CIP Safety E/S CIP Safety
SNN_7
E/S CIP Safety E/S CIP Safety E/S CIP Safety
SNN_2 SNN_4 SNN_6
Cada dispositivo CIP Safety deve ser configurado com um SNN. Qualquer
dispositivo que origina uma conexo de segurana a outro dispositivo de
segurana deve ser configurado com o SNN do dispositivo alvo. Se o sistema
CIP Safety estiver no processo de inicializao antes do teste de segurana
funcional do sistema, o dispositivo originrio poder ser usado para definir
a referncia de n exclusivo no dispositivo.
O SNN usado pelo sistema um nmero hexadecimal de seis bytes. O SNN pode
ser definido e exibido em um destes dois formatos: baseado em tempo ou manual.

CIP Safety e nmero da rede de segurana Captulo 4
Quando o formato baseado em tempo for selecionado, o SNN representar

uma data e hora localizadas. Quando o formato manual for selecionado,
o SNN representar um tipo de rede e um valor decimal de 1 a 9999.
Figura 10 Formatos de SNN
A atribuio de um SNN baseado em tempo automtica quando voc criar

um novo projeto do controlador de segurana GuardLogix e a adicionar novos
dispositivos de E/S CIP Safety.
A manipulao de um SNN obrigatria nas seguintes situaes:

Se tags de segurana consumidos forem usados
Se o projeto consumir dados de entrada de segurana de um dispositivo
cuja configurao de propriedade de outro dispositivo de segurana
Se um projeto de segurana for copiado para uma instalao de hardware
diferente dentro do mesmo sistema CIP Safety rotevel.
IMPORTANTE Se voc atribuir um SNN manualmente, certifique-se de que a expanso

do sistema no resulta em combinaes duplicadas de SNN e endereo
do n. Um erro de verificao ocorre se seu projeto contiver combinaes
duplicadas de SNN e endereo do n.
Consideraes para A atribuio do SNN dependente de fatores que incluem a configurao do

controlador ou do dispositivo de E/S CIP Safety.
atribuio do nmero da
rede de segurana (SNN)
Nmero de rede de segurana (SNN) para tags de segurana
consumidos
Quando um controlador de segurana que contm tags de segurana produzidos

adicionado rvore de Configurao de E/S, o SNN do controlador de
produo deve ser inserido. O SNN pode ser copiado do projeto do controlador
de produo e colado no novo controlador que estiver sendo adicionado rvore
de Configurao de E/S.
Consulte o GuardLogix 5570 Controllers User Manual, publicao

1756-UM022, para informaes sobre como copiar e colar um SNN.

Captulo 4 CIP Safety e nmero da rede de segurana
Nmero de segurana da rede (SNN) para dispositivos padro
Dispositivos de E/S CIP Safety padro no tm um SNN. O SNN definido

quando uma configurao enviada ao dispositivo pelo controlador GuardLogix
que pertence ao dispositivo.
IMPORTANTE Para adicionar um dispositivo de E/S CIP Safety a um sistema GuardLogix

configurado (o SNN est presente no controlador GuardLogix), o dispositivo
CIP Safety de substituio deve ter o SNN correto aplicado antes de ser
adicionado rede CIP Safety.
Nmero da rede de segurana (SNN) para dispositivo de segurana

com um proprietrio de configurao diferente
Quando um dispositivo de E/S CIP Safety pertencer a um controlador

GuardLogix diferente (controlador B) e for adicionado a outro projeto
GuardLogix (projeto do controlador A), a aplicao Logix Designer atribuir
o SNN com base no projeto atual. Como o projeto atual (projeto do
controlador A) no o proprietrio real da configurao, voc precisa copiar
o SNN original (projeto do controlador B) na configurao do projeto do
controlador A. mais fcil fazer isso com os comandos copiar e colar.
O resultado que o dispositivo de E/S CIP Safety produzir dados para os
dois controladores GuardLogix ao mesmo tempo. Voc pode copiar e colar
para um mximo de 16 controladores.
Consulte o GuardLogix 5570 Controllers User Manual, publicao

1756-UM022, para informaes sobre como alterar, copiar e colar os
nmeros da rede de segurana.
Nmero da rede de segurana (SNN) ao copiar um projeto

de segurana
ATENO: Se um projeto de segurana for copiado para uso em outro projeto

com um hardware diferente ou em um local fsico diferente e o novo projeto
estiver dentro do mesmo sistema CIP Safety rotevel, todos os SNNs devero ser
alterados no segundo sistema. Os valores do SNN no devem ser repetidos.
Consulte o GuardLogix 5570 Controllers User Manual, publicao 1756-UM022,
para informaes sobre como alterar o SNN.

Captulo 5
Caractersticas de tags de segurana, da tarefa

de segurana e dos programas de segurana
Tpico Pgina
Diferenas entre padro e segurana 37
Aplicaes de segurana SIL 2 38
Segurana SIL 3 a tarefa de segurana 41
Uso de interfaces homem-mquina 43
Programas de segurana 45
Rotinas de segurana 45
Tags de segurana 46
Diferenas entre padro Como um controlador da srie Logix, tanto os componentes-padro (no
relacionados segurana) quanto os componentes relacionados segurana
e segurana podem ser usados no sistema de controle GuardLogix.
possvel desempenhar um controle de automao padro das tarefas padro

dentro de um projeto GuardLogix. Os controladores GuardLogix fornecem
a mesma funcionalidade que os outros controladores da srie ControlLogix.
O que diferencia os controladores GuardLogix dos controladores-padro que
eles oferecem uma tarefa de segurana com capacidade SIL 3.
No entanto, necessria uma distino lgica e visvel entre as partes padro e as

partes relacionadas segurana da aplicao. A aplicao Logix Designer fornece
a diferenciao atravs da tarefa de segurana, programas de segurana, rotinas
de segurana, tags de segurana e dispositivos de E/S de segurana. possvel
implementar os nveis SIL 2 e SIL 3 do controle de segurana com a tarefa de
segurana do controlador GuardLogix.

Captulo 5 Caractersticas de tags de segurana, da tarefa de segurana e dos programas de segurana
Aplicaes de segurana SIL 2 possvel realizar o controle de segurana SIL 2 usando a tarefa de segurana
dos controladores GuardLogix.
Como os controladores GuardLogix fazem parte da srie de processadores

ControlLogix, voc pode realizar o controle de segurana SIL 2 com um
controlador GuardLogix usando tarefas-padro ou a tarefa de segurana.
Esse recurso oferece opes de controle de segurana exclusivas e versteis, visto
que a maior parte das aplicaes tem uma porcentagem mais alta de funes de
segurana SIL 2 do que funes de segurana SIL 3.
Controle de segurana SIL 2 na tarefa de segurana
A tarefa de segurana GuardLogix pode ser usada para fornecer as funes de

segurana SIL 2 e SIL 3. Se as funes de segurana SIL 3 precisarem ser
realizadas simultaneamente com as funes de segurana SIL 2, voc deve atender
as exigncias definidas nas sees Segurana SIL 3 a tarefa de segurana,
Programas de segurana e Rotinas de segurana deste captulo, bem como as
exigncias da SIL 2 listadas nesta seo.
Lgica de segurana SIL 2
De uma perspectiva de controle de segurana GuardLogix, a maior diferena

entre os dispositivos de segurana classificados para SIL 2 e SIL 3 que o SIL 2
geralmente um canal simples, enquanto o SIL 3 normalmente um canal duplo.
Quando estiver usando Guard I/O com classificao de segurana (mdulos
vermelhos), o que necessrio para a tarefa de segurana, as entradas de segurana
SIL 2 podem ser de canal nico, o que pode reduzir a complexidade e o nmero
de mdulos que so necessrios.
Fica a critrio do criador do sistema de segurana implementar adequadamente

todas as funes de segurana. Consideraes devem ser dadas ao seguinte:
Seleo de dispositivo de campo (seleo correta, identificar e reduzir todas
as falhas de dispositivos)
Considerar especificaes de solicitaes de segurana (baixo IEC 61511
ou alto ISO 13849)
Considerar intervalos de testes (diagnsticos e testes de provas necessrios
para satisfazer as especificaes da aplicao)
Identificar e justificar com documentao adequada quaisquer excluses de
falhas que forem usadas
z
IMPORTANTE Se uma combinao de funes de segurana SIL 2 e SIL 3 forem usadas
simultaneamente dentro de uma tarefa de segurana, deve-se evitar que
os sinais de entrada SIL 2 controlem diretamente as funes de segurana
SIL 3. Use programas de tarefa ou rotinas de segurana especficos para
separar as funes de segurana SIL 2 e SIL 3.
Dentro da tarefa de segurana, a aplicao Logix Designer inclui um conjunto

de instrues de lgica ladder relacionadas segurana. Os controladores
GuardLogix tambm apresentam instrues de segurana com classificao SIL 3
especficas para a aplicao. Todas essas instrues de lgica podem ser usadas nas
funes de segurana em Cat. 1 a 4 e SIL 1 a 3.

Caractersticas de tags de segurana, da tarefa de segurana e dos programas de segurana Captulo 5
Apenas para a segurana SIL 2, no exigida uma assinatura de tarefa de

segurana. Entretanto, se qualquer funo de segurana SIL 3 for usada dentro
da tarefa de segurana, uma assinatura de tarefa de segurana ser exigida.
Para aplicaes SIL 2, recomendamos que o travamento de segurana da tarefa de

segurana depois que o teste for concludo. O travamento da tarefa de segurana
possibilita os mais recursos de segurana. Voc tambm pode usar FactoryTalk
Security e a proteo de sada de rotina Logix Designer para limitar o acesso
lgica relacionada com segurana.
Para mais informaes sobre como gerar uma assinatura de tarefa de segurana
e trava de segurana da tarefa de segurana, consulte o GuardLogix 5570
Controllers User Manual, publicao 1756-UM022.
Entradas de segurana SIL 2
Os mdulos de entrada de segurana CompactBlock Guard I/O (srie 1791),

ArmorBlock Guard I/O (srie 1732) e POINT Guard I/O (srie 1734)
suportam circuitos de entrada de segurana SIL 2 de canal nico. Visto que
esses mdulos tambm esto classificados para operao SIL 3, a mistura de
circuitos SIL 2 e SIL 3 no mesmo mdulo permitida, desde que voc siga essas
orientaes.
Esses dois exemplos mostram como ligar os circuitos de segurana SIL 2 aos
mdulos de entrada de segurana Guard I/O. Esses exemplos usam fontes de
testes incorporadas (T0 a Tx) que esto includas em todos os mdulos de
entrada de segurana 1791 e 1732.
Figura 11 Fiao de entrada
I0 I1 T0 T1
As entradas do grupo de mdulos Guard I/O so em pares para facilitar as

funes de segurana Cat 3, Cat 4, e SIL 3. Para utilizar as funes de segurana
Cat 1, Cat 2 e SIL 2, as entradas do mdulo ainda devem ser utilizadas em pares
conforme ilustrado. Duas funes de segurana SIL 2 so mostradas conectadas
s entradas I0 e I1 usando fontes de teste T0 e T1, respectivamente.
Figura 12 Fiao de entrada em pares
I0 I1 T0 T1

Para as funes de segurana Cat 1, Cat 2, e SIL 2, os mdulos de segurana

Guard I/O necessitam de configuraes especficas dentro do projeto
GuardLogix. Neste exemplo, as entradas 0, 1, 6, 7, 8, 9, 10 e 11 fazem parte
de uma funo de segurana CAT 1, 2 ou SIL 2. As entradas 2 e 3, bem como
a 4 e 5, fazem parte da funo de segurana CAT 3, CAT 4 ou SIL 3.
Figura 13 Configurao de entrada
Campo Valor
Tipo Simples
Tempo de discrepncia N/A
Modo ponto Teste de pulso de segurana
Teste de fonte Defina os valores com base em como o dispositivo de campo est fisicamente conectado ao
mdulo. Para garantir que a fonte de teste esteja habilitada corretamente, abra e visualize
os ajustes de parmetros na guia Test Output.
Tempo de atraso na Entrada de usurio baseada nas caractersticas do dispositivo de campo.
entrada
IMPORTANTE Os testes de sada de pulso integrados (T0 a Tx) so normalmente usados

com dispositivos de campo que tm contatos mecnicos. Se for utilizado
um dispositivo de segurana com sadas eletrnicas (para alimentar
as entradas de segurana), ele deve ter classificaes de segurana
apropriadas.
IMPORTANTE Se voc estiver usando as instrues da aplicao de segurana GuardLogix,

certifique-se de configurar os mdulos de entrada de segurana como
simples, e no equivalente nem complementar. Essas instrues oferecem
a funcionalidade de duplo canal necessria para as funes de segurana
PLd (Cat. 3) ou PLe (Cat. 4).
Consulte o GuardLogix Safety Application Instruction Set Reference Manual,
publicao 1756-RM095.

Controle de segurana SIL 2 em tarefas-padro
Devido qualidade e quantidade de diagnsticos inseridos na srie de

controladores ControlLogix, possvel aplicar as funes de segurana SIL 2 de
dentro das tarefas-padro. Isso tambm ocorre com os controladores GuardLogix.
Para executar o controle de segurana SIL 2 dentro de uma tarefa padro

GuardLogix, necessrio obedecer s exigncias definidas do
Using ControlLogix in SIL 2 Applications Safety Reference Manual,
Segurana SIL 3 A criao de um projeto GuardLogix cria automaticamente uma nica tarefa de
segurana. A tarefa de segurana apresenta estas caractersticas adicionais:
a tarefa de segurana
Os controladores GuardLogix so os nicos compatveis com a tarefa de
segurana.
A tarefa de segurana no pode ser removida.
Os controladores GuardLogix suportam uma nica tarefa de segurana.
Dentro da tarefa de segurana, podem-se usar vrios programas de
segurana compostos por vrias rotinas de segurana.
Voc no pode agendar ou executar rotinas padro de dentro da Tarefa de
Segurana.
A tarefa de segurana uma tarefa peridica com watchdog e prioridade de

tarefa selecionvel pelo usurio. Em muitos casos, ela a prioridade do
controlador e o watchdog do programa definido pelo usurio deve ser
configurado para acomodar flutuaes na execuo da tarefa de segurana.
Limitaes da tarefa de segurana
Especifique o perodo da tarefa de segurana e o watchdog da tarefa de segurana.

O perodo da tarefa de segurana o perodo no qual a tarefa de segurana
executada. O watchdog da tarefa de segurana o tempo mximo permitido
desde o incio da execuo programada da tarefa de segurana at sua concluso.
Para obter mais informaes sobre o watchdog da tarefa de segurana, consulte

o Apndice C, Tempos de reao.
O perodo da tarefa de segurana limitado a um mximo de 500 ms e no pode

ser modificado on-line. Certifique-se de que a tarefa de segurana tem tempo
suficiente para ser concluda antes de ser desarmada novamente. O tempo-limite
do watchdog da tarefa de segurana, uma falha de segurana no recupervel no
controlador GuardLogix, ocorre se a tarefa de segurana for acionada enquanto
ainda estiver sendo executada do acionador anterior.
Consulte o Captulo 7, Monitorao de status e manuseio de falhas, para obter

mais informaes.

Detalhes de execuo da tarefa de segurana
A tarefa de segurana executada da mesma maneira que as tarefas peridicas

padro, com estas excees:
A tarefa de segurana no iniciada at que o Controlador Primrio e o

Parceiro de Segurana estabeleam sua parceria de controle e sincronizem
oTempo de Sistema (CST). No entanto, tarefas padro comeam a ser
executada logo que o controlador transicionado para o modo de
operao.
Embora a faixa configurvel do intervalo do pacote requisitado (RPI) para

as entradas de segurana e os tags de segurana consumidos sejam de 6 a
500 ms, os tags de entrada de segurana e os tags de segurana consumidos
so atualizados apenas no incio da execuo da tarefa de segurana. Isto
significa que mesmo que o RPI da E/S seja mais rpido que o perodo da
tarefa de segurana, os dados no mudaro durante a execuo da tarefa de
segurana. Os dados so lidos somente uma vez no incio da execuo da
tarefa de segurana.
Os valores de entrada de segurana so congelados no incio da execuo

daTarefa de Segurana. Como resultado, as instrues relacionadas ao
temporizador, como TON e TOF, no sero atualizadas durante uma
nica execuo da tarefa de segurana. Elas mantero o tempo correto de
execuo de uma tarefa para a outra, mas o tempo acumulado no ser
alterado durante a execuo da tarefa.
ATENO: Este comportamento difere da execuo da tarefa Logix

padro, mas semelhante ao comportamento do CLP ou do SLC.
Para os tags padro que so mapeados em tags de segurana, os valores dos

tags padro sero copiados para a memria de segurana no incio da tarefa
de segurana e no mudaro durante a execuo da tarefa de segurana.
Os valores dos tags de sada de segurana (de sada e produzidos) so

atualizados na concluso da execuo da tarefa de segurana.

A tarefa de segurana reage s mudanas de modo (por exemplo, operao

para programa ou programa para operao) em intervalos temporizados.
Como resultado, a tarefa de segurana pode levar mais de um perodo de
tarefa, mas sempre menos do que dois, para fazer uma transio de modo.
IMPORTANTE Enquanto estiver sem o travamento de segurana e sem assinatura de

segurana, o controlador impedir o acesso de gravao simultneo
memria de segurana pela tarefa de segurana e pelos comandos de
comunicao. Como resultado, a tarefa de segurana pode ser retida at
a concluso da atualizao da comunicao. O tempo necessrio para
a atualizao varia de acordo com o tamanho do tag. Por isso, pode ocorrer
a conexo de segurana e os tempos-limites de watchdog de segurana.
(Por exemplo, se voc fizer edies on-line quando a taxa da Tarefa de
Segurana estiver definida para 1 ms, pode ocorrer um tempo-limite de
watchdog de segurana.)
Para compensar o tempo retido devido a uma atualizao de comunicao,
adicione 2 ms ao tempo de watchdog de segurana.
Quando o controlador estiver com travamento de segurana ou houver uma
assinatura de tarefa de segurana, a situao descrita nesta observao no
poder ocorrer.
Uso de interfaces Siga estas precaues e orientaes para usar os dispositivos IHM em sistemas
GuardLogix com classificao SIL.
homem-mquina
Precaues
Voc deve adotar precaues e implementar tcnicas especficas em dispositivos

IHM. Estas precaues incluem, mas no esto restritas ao seguinte:
Acesso e segurana limitados
Especificaes, teste e validao
Restries de dados e acessos
Limites de dados e parmetros
Para mais informaes de como os dispositivos IHM se encaixam em uma malha

SIL tpica, consulte Figura 1 na pgina 15.
Use tcnicas de som no software de aplicao no IHM e controlador.

Acessando sistemas relacionados segurana
As funes relacionadas a IHM consistem de duas atividades primrias: leitura

e gravao de dados.
Lendo os parmetros em sistemas relacionados segurana
A leitura de dados no restrita porque a leitura no afeta o comportamento do

sistema de segurana. Entretanto, o nmero, frequncia e dimenses dos dados
sendo lidos podem afetar a disponibilidade do controlador. Para evitar desarmes
por rudos relacionados segurana, use boas prticas de comunicao para
limitar o impacto do processamento de comunicao no controlador. No
configure as taxas de leitura taxa mais rpida possvel.
Mudando parmetros em sistemas com classificao SIL
Uma mudana de parmetros em uma malha relacionada segurana atravs de

um dispositivo externo (ou seja, fora da malha de segurana) (por exemplo, um
IHM) permitida apenas com as seguintes restries:
Apenas pessoal (operadores) autorizado e com treinamento especial pode

mudar os parmetros em sistemas relacionados segurana atravs de
IHMs.
O operador que faz as mudanas em um sistema relacionado segurana

atravs de um IHM responsvel pelo efeito destas mudanas na malha de
segurana.
Deve-se documentar claramente as variveis que sero modificadas.
Deve-se usar um procedimento de operador claro, abrangente e explcito

para fazer as mudanas relacionadas segurana atravs de um IHM.
As mudanas sero aceitas em um sistema relacionado segurana apenas

se a seguinte sequncia de eventos ocorrer:
a. A nova varivel deve ser enviada duas vezes para dois tags diferentes;
ou seja, ambos os valores no devem ser gravados com um comando.
b. O cdigo relacionado segurana que executa no controlador deve
verificar ambos os tags para equivalncia e certificar-se de que esto
dentro da faixa (verificao de limites).
c. Ambas as novas variveis devem ser lidas novamente e exibidas no
dispositivo IHM.
d. Os operadores treinados devem verificar visualmente que as variveis
so iguais e esto com o valor correto.
e. Os operadores treinados devem reconhecer manualmente que os valores
esto corretos na tela do IHM que envia um comando para a lgica de
segurana, o que permite que os novos valores sejam usados na funo
de segurana.
Em cada caso, o operador deve confirmar a validade da mudana antes que

sejam aceitas e aplicadas na malha de segurana.

Teste todas as mudanas como parte do procedimento de validao de

segurana.
Documente suficientemente todas as mudanas relacionadas segurana

feitas atravs da IHM, incluindo o seguinte:
Autorizao
Anlise de impacto
Execuo
Informaes de teste
Informaes de reviso
As mudanas no sistema relacionado segurana devem estar em

conformidade com o padro IEC 61511 sobre segurana de processos,
seo 11.7.1 Especificaes da interface do operador.
As mudanas no sistema relacionado segurana devem estar em

conformidade com IEC 62061 para a segurana da mquina.
O desenvolvedor deve seguir as mesmas tcnicas e procedimentos de

desenvolvimento seguros usados para outro desenvolvimento de software
de aplicao, incluindo a verificao e teste da interface de operao
e seu acesso a outras partes do programa. No software de aplicao do
controlador, crie uma tabela que seja acessvel pela IHM e limite o acesso
apenas a pontos de dados especficos.
Similarmente ao programa do controlador, o software IHM precisa ser fixo

e mantido para uma compatibilidade de nvel SIL depois que o sistema foi
validado e testado.
Programas de segurana Um programa de segurana tem todos os atributos de um programa padro,

exceto pelo fato de que ele s pode ser programado na tarefa de segurana. Um
programa de segurana tambm pode definir tags de segurana com escopo de
programa. Um programa de segurana pode ser programado ou no programado.
Um programa de segurana pode conter apenas componentes de segurana.

Todas as rotinas em um programa de segurana so rotinas de segurana.
Um programa de segurana no pode conter rotinas padro ou tags padro.
Rotinas de segurana As rotinas de segurana tm todos os atributos das rotinas padro, mas no
podem ocorrer apenas em programas de segurana. Uma rotina de segurana
pode ser designada como a rotina principal. Outra rotina de segurana pode ser
designada como a rotina de falha. Apenas instrues certificadas pela segurana
podem ser usadas em rotinas de segurana.
Para obter uma lista de instrues de segurana, consulte o Apndice A.
ATENO: Para preservar a conformidade com SIL 3, certifique-se de que

a lgica de segurana no tente ler nem gravar tags padro.

Tags de segurana O Sistema de Controle GuardLogix suporta o uso de tags padro e de segurana
no mesmo projeto. No entanto, o software de programao diferencia os tags
padro dos tags de segurana de forma operacional.
Os tags de segurana tm todos os atributos de tags padro alm dos mecanismos

necessrios para fornecer integridade de dados SIL 3.
Tabela 6 Tipos de dados vlidos para tags de segurana

AUX_VALVE_CONTROL DINT MUTING_FOUR_SENSOR_BIDIR
BOOL DIVERSE_INPUT MUTING_TWO_SENSOR_ASYM
CAM_PROFILE EIGHT_POS_MODE_SELECTOR MUTING_TWO_SENSOR_SYM
CAMSHAFT_MONITOR EMERGENCY_STOP MOTION_INSTRUCTION
CB_CONTINUOUS_MODE ENABLE_PENDANT PHASE
CB_CRANKSHAFT_POS_MONITOR EXT_ROUTINE_CONTROL PHASE_INSTRUCTION
CB_INCH_MODE EXT_ROUTINE_PARAMETERS REAL
CB_SINGLE_STROKE_MODE FBD_BIT_FIELD_DISTRIBUTE REDUNDANT_INPUT
CONFIGURABLE_ROUT FBD_CONVERT REDUNDANT_OUTPUT
CONNECTION_STATUS FBD_COUNTER SAFETY_MAT
CONTROL FBD_LOGICAL SERIAL_PORT_CONTROL
COUNTER FBD_MASK_EQUAL SFC_ACTION
DCA_INPUT FBD_MASKED_MOVE SFC_STEP
DCI_MONITOR FBD_TIMER SFC_STOP
DCI_START FIVE_POS_MODE_SELECTOR SINT
DCI_STOP INT STRING
DCI_STOP_TEST LIGHT_CURTAIN THRS_ENHANCED
DCI_STOP_TEST_LOCK MAIN_VALVE_CONTROL TIMER
DCI_STOP_TEST_MUTE MANUAL_VALVE_CONTROL TWO_HAND_RUN_STATION
A aplicao Logix Designer impede a criao direta de tags invlidos em um

programa de segurana. Se tags invlidos forem importados, eles no podem ser
verificados.
IMPORTANTE Alternar entre tags de segurana e tags padro proibido em aplicaes de

segurana.
Os tags classificados como tags de segurana so tags do controlador ou do

programa de segurana. Os tags de segurana com escopo do controlador
podem ser lidos pela lgica-padro e de segurana ou por outros dispositivos de
comunicao, mas s podem ser gravados pela lgica de segurana ou por outro
controlador de segurana GuardLogix. Os tags de segurana com escopo do
programa so acessveis apenas pelas rotinas de segurana locais. Essas rotinas
residem dentro do programa de segurana.
Os tags associados E/S de segurana e os dados de segurana produzidos ou

consumidos devem ser tags de segurana com escopo de controlador.
IMPORTANTE Qualquer tag de segurana do controlador pode ser lido por qualquer rotina
padro, mas a taxa de atualizao baseada na execuo da tarefa de
segurana. Isso significa que os tags de segurana so atualizados na taxa
peridica da tarefa de segurana, que diferente do comportamento do
tag padro.

Tags padro em rotinas de segurana (mapeamento de tags)
Os tags padro com escopo de controlador podem ser mapeados em tags de

segurana, fornecendo um mecanismo de sincronizao de aes padro e de
segurana.
ATENO: Ao usar dados padro em uma rotina de segurana, voc ser

responsvel por fornecer uma forma confivel de assegurar que os dados
estejam sendo usados de forma adequada. O uso de dados padro em um
tag de segurana no os transforma em dados de segurana. Voc no deve
controlar uma sada de segurana com dados do tag padro.
Este exemplo ilustra como qualificar os dados padro com os dados de segurana.
Figura 14 Qualificao dos dados padro com dados de segurana
MappedBooleanTag LatchOneShot Node30ComboModule:I.Pt07Data Node30ComboModule:O.Pt03Data

ONS
Node30ComboModule:O.Pt03Data
Qualificador de entrada de segurana para tag mapeado

Trave o circuito para impedir uma reinicializao automtica se Sada de Segurana
a entrada padro (MappedTag) falhar em um estado parado no 1.

Observaes:

Captulo 6
Desenvolvimento da aplicao de segurana
Tpico Pgina
Suposies do conceito de segurana 49
Noes bsicas do desenvolvimento e do teste de aplicativos 50
Comissionamento do ciclo de vida 51
Download do programa aplicativo de segurana 57
Upload do programa de segurana da aplicao 57
Edio on-line 57
Armazenamento e carregamento de um projeto de memria no voltil 58
Force de dados 58
Inibio de um dispositivo 58
Editando sua aplicao de segurana 59
Suposies do conceito O conceito de segurana considera o seguinte:

de segurana Se voc responsvel pela criao, operao e manuteno da aplicao,
voc est qualificado, treinado e tem experincia em sistemas de segurana.
Voc aplica a lgica corretamente, o que significa que erros de programao
podem ser detectados. Os erros de programao podem ser detectados,
pois as regras de especificaes, programao e nomeao so seguidas
risca.
Voc executa uma anlise crtica da aplicao e usa todas as medidas
possveis para detectar uma falha.
Voc confirma todos os downloads de aplicaes atravs de uma verificao
manual da assinatura da tarefa de segurana.
Voc executa um teste funcional completo de todo o sistema antes da
primeira partida operacional de um sistema de segurana.

Captulo 6 Desenvolvimento da aplicao de segurana
Tabela 7 Modos de controlador

Modo de Status da tarefa Segurana(1) Comentrios
controlador de segurana (at e incluindo) (Um programa vlido foi descarregado no controlador.)
Programa Destravado Conexes E/S estabelecidas
Sem assinatura A lgica da tarefa de segurana no est sendo varrida.
Operao Destravado (apenas para fins de Foramento permitido
Sem assinatura desenvolvimento) Edio on-line permitida.
A memria de segurana isolada, mas no protegida (leitura/gravao).
A lgica da tarefa de segurana est sendo varrida.
Lgica de processos de controladores primrios e parceiros, sadas de lgica de comparao
cruzada. Sadas de lgica so gravadas nas sadas de segurana.
Operao Travado PLd/Cat. 3 Novas foras no so permitidas. As foras existentes so mantidas.
Sem assinatura Controle confivel Edio on-line no permitida.
SIL CL2 A memria de segurana protegida (apenas leitura).
A lgica de tarefa de segurana varrida.
Operao Destravado Ple/Cat. 4 As foras no so permitidas. (Devem ser removidas para gerar uma assinatura de tarefa de
Com assinatura Controle confivel segurana.)
SIL CL3 Edio on-line no permitida.
A memria de segurana protegida (apenas leitura).
A assinatura da tarefa de segurana no protegida e pode ser apagada por qualquer um que
tenha acesso ao controlador.
Operao Travada Ple/Cat. 4 As foras no so permitidas. (Devem ser removidas para gerar uma assinatura de tarefa de
Com assinatura Controle confivel segurana.)
SIL CL3 Edio on-line no permitida.
A memria de segurana protegida (apenas leitura).
A assinatura da tarefa de segurana protegida. Os usurios devem inserir a senha para destravar
o controlador antes que possam apagar a assinatura da tarefa de segurana.
(1) Para adquirir este nvel, deve-se aderir s especificaes de segurana definidas nesta publicao.
Noes bsicas do Recomendamos que o programa aplicativo para o sistema SIL CL3 pretendido
seja desenvolvido pelo integrador de sistema ou por um usurio treinado e
desenvolvimento e do familiarizado em aplicaes de segurana. O desenvolvedor deve seguir as boas
teste de aplicativos prticas de projeto.
Use as especificaes funcionais, incluindo fluxogramas, diagramas de
temporizao e grficos sequenciais.
Faa uma reviso da lgica da tarefa de segurana.
Faa a validao da aplicao.

Desenvolvimento da aplicao de segurana Captulo 6
Comissionamento do ciclo O fluxograma abaixo mostra as etapas necessrias para o comissionamento de um

sistema GuardLogix. Os itens em negrito sero explicados nas prximas sees.
de vida
Figura 15 Comissionamento do sistema
Especificao da funo de controle
Criar projeto Criar projeto

on-line off-line
Anexe ao controlador e descarregue
Testar o programa aplicativo
Gere a assinatura da tarefa de segurana Faa as modificaes

necessrias
Teste de verificao do projeto
Passaram No Excluir a assinatura de tarefa

nos testes? de segurana
Sim
Confirmar o projeto
Registrar a assinatura de tarefa

de segurana
Preencher a lista de verificao no Apndice D
Validao de Segurana (Reviso Independente)
Projeto No
validado?
Sim
Travar o controlador/fim

Especificao da funo de controle
Voc deve criar uma especificao para a funo de controle. Use essa
especificao para verificar se a lgica do programa est correta e se atende
completamente aos requisitos funcionais e de controle de segurana do
aplicativo. A especificao pode ser apresentada em vrios formatos dependendo
da aplicao. No entanto, a especificao deve ser uma descrio detalhada que
inclua o seguinte (se aplicvel):
Sequncia de operaes
Fluxogramas e diagramas de temporizao
Grficos sequenciais
Descrio do programa
Roteiro do programa
Descries escritas das etapas com condies de etapa e atuadores a serem
controlados, incluindo o seguinte:
Definies de entrada
Definies de sada
Esquemas eltricos e referncias de E/S
Teoria da operao
Matriz ou tabela de condies em etapas e os atuadores a serem
controlados, incluindo os diagramas de sequncia e de temporizao
Definio das condies marginais, por exemplo, modos de operao
e PARADA DE EMERGNCIA
A parte de E/S da especificao deve conter a anlise de circuitos de campo,

ou seja, o tipo de sensores e de atuadores.
Sensores (Digitais ou Analgicos)
Sinal na operao padro (princpio atual inativo para sensores digitais,
sensores desligados (OFF) indicam que no h sinal)
Determinao de redundncia necessria para nveis de SIL
Monitorao e visualizao de discrepncias, incluindo sua lgica de
diagnstico
Atuadores
Posio e ativao na operao padro (normalmente OFF)
Reao/posicionamento de segurana quando estiver alternando para
OFF ou em falha de alimentao.
Monitorao e visualizao de discrepncias, incluindo sua lgica de
diagnstico

Criao do projeto
A lgica e as instrues usadas durante a programao do aplicativo devem ser:

Fceis de compreender
Fceis de rastrear
Fceis de mudar
Fceis de testar
Revisar e testar toda a lgica. Mantenha a lgica relacionada segurana e a lgica

padro separadas.
Rotulao do Programa
O programa da aplicao claramente identificado por um dos seguintes itens:

Nome
Data
Reviso
Qualquer outra identificao do usurio
Teste o programa aplicativo
Esta etapa consiste em qualquer combinao de modos de execuo e de

programa, edies on-line ou off-line, carregamentos e descarregamentos e testes
informais que so necessrios para que o aplicativo opere adequadamente para
o teste de Verificao de Projeto.
Gerao da assinatura da tarefa de segurana
A assinatura da tarefa de segurana identifica exclusivamente cada projeto,

incluindo sua lgica, dados e configuraes. A assinatura da tarefa de segurana
composta de um ID (nmero de identificao), data e hora.
Voc pode gerar a assinatura da tarefa de segurana se todas as condies a seguir

forem verdadeiras:
A aplicao Logix Designer est on-line com o controlador.
O controlador estiver no modo de programao.
O controlador no estiver travado para segurana.
O controlador no tiver regras de segurana ou edies de segurana
on-line pendentes.
O status da Tarefa de Segurana estiver OK.

Aps a concluso do teste do programa da aplicao, gere a assinatura da tarefa de

segurana. O software de programao carrega automaticamente a assinatura da
tarefa segurana depois que ela gerada.
IMPORTANTE Para verificar a integridade de cada download, deve-se registrar

manualmente a assinatura da tarefa de segurana aps a criao inicial
e verificar a assinatura da tarefa de segurana aps cada download para
garantir que corresponda original.
Voc poder excluir a assinatura da tarefa de segurana apenas quando o

controlador GuardLogix estiver sem travamento de segurana e, caso esteja
on-line a chave seletora esteja na posio REM ou PROG.
Quando houver uma assinatura de tarefa de segurana, as aes a seguir no sero

permitidas na tarefa de segurana:
Programao ou edio on-line ou off-line de componentes de segurana
Forando a E/S da Segurana
Manipulao de dados (exceto atravs da lgica da rotina ou de outro
controlador GuardLogix)
Para verificar se o seu programa aplicativo segue as especificaes, deve-se gerar

um conjunto de casos de testes apropriados que cubram a aplicao. Os testes
devem ser arquivados e retidos como especificao do teste.
Voc deve incluir vrios testes para provar a validade dos clculos (frmulas)
usados na lgica do aplicativo. Testes de intervalos equivalentes so aceitos. Esses
so testes dentro dos intervalos de valor definidos, nos limites, ou em intervalos
de valores invlidos. O nmero necessrio de testes depende das frmulas usadas
e deve conter pares de valores crticos.
A simulao ativa com origens (dispositivos de campo) tambm deve ser includa,
pois a nica forma de verificar se os sensores e os atuadores do sistema esto
conectados corretamente. Verifique a operao das funes programadas
manipulando manualmente os sensores e atuadores.
Voc tambm deve incluir testes para verificar a reao a falhas de fiao e a falhas
na comunicao da rede.
A verificao do projeto inclui testes de rotinas de falha e canais de entrada e de

sada para garantir que o sistema de segurana funcione corretamente.
Para executar um teste de verificao do projeto no controlador GuardLogix, voc

deve executar um teste completo da sua aplicao. Voc deve alternar cada sensor
e atuador envolvido na funo de segurana. Da perspectiva de um controlador,
isto significa alternar o ponto de E/S que vai para o controlador, no necessaria-
mente os ativadores reais. Certifique-se de testar todas as funes de encerra-
mento, porque estas funes geralmente no so exercidas durante a operao
normal. Alm disso, esteja ciente de que um teste de verificao do projeto
vlido somente para a aplicao testada especificamente. Se o controlador for
movido para outra aplicao, deve-se tambm executar o teste de verificao do
projeto e de partida no controlador no contexto do seu novo programa aplicativo.

Confirmao do projeto
Deve-se imprimir ou visualizar o projeto e comparar as configuraes do

controlador e de E/S de segurana carregadas, os dados de segurana e a lgica
de programao da tarefa de segurana para garantir que os componentes de
segurana corretos foram descarregados, testados e retidos no programa aplicativo
de segurana.
Caso o programa da aplicao contenha uma instruo add-on de segurana que

esteja travada com uma assinatura da instruo, voc tambm deve comparar a
instruo de assinatura, a data/hora e a assinatura da instruo de segurana com
os valores registrados quando a instruo add-on foi lacrada.
Consulte Apndice B, Instrues add-on de segurana para informaes sobre

a criao e uso das Instrues Add-On de segurana em aplicaes SIL 3.
As etapas abaixo ilustram um mtodo de confirmao do projeto:
1. Com o controlador no modo de programa, salve o projeto.

2. Responda Sim no prompt Carregar valores de tag.
3. Com a aplicao Logix Designer off-line, salve o projeto com um novo
nome, como Offlineprojectname.ACD, onde projectname o nome de
seu projeto.
Este o novo arquivo de projeto mestre testado.

4. Feche o projeto.
5. Remova o arquivo do projeto original do diretrio atual.
possvel excluir este arquivo ou armazen-lo em um local de
arquivamento. Essa etapa necessria porque, se a aplicao Logix
Designer encontrar o projectname.ACD neste diretrio, ela ir
correlacion-lo ao projeto do controlador e no realizar o carregamento
real.
6. Com o controlador ainda no modo de programa, carregue o projeto do
controlador.
7. Salve o projeto carregado como Onlineprojectname.ACD, onde
projectname o nome do projeto.
8. Responda Sim no prompt Carregar valores de tag.
9. Use o utilitrio Logix Designer Program Compare para fazer estas
comparaes:
Compare todas as propriedades do controlador GuardLogix e dos
dispositivos de E/S CIP Safety.
Compare todas as propriedades da tarefa de segurana, programas de
segurana e rotinas de segurana.
Compare toda a lgica nas rotinas de segurana.

Validao da segurana
Uma reviso independente, feita por terceiros, do sistema de segurana pode ser
necessria para que o sistema seja considerado aprovado para operao. Uma
certificao de terceiros independente solicitada para a IEC 61508 SIL 3.
Travamento do controlador GuardLogix
O sistema do controlador GuardLogix pode estar com travamento de segurana

para ajudar a proteger os componentes do controle de segurana contra
modificao. Entretanto, o travamento de segurana para o controlador no
um requisito para as aplicaes SIL 3. A funo de travamento de segurana
aplicada apenas aos componentes de segurana tais como, tarefa de segurana,
programas de segurana, rotinas de segurana, tags de segurana, instrues
add-on de segurana, E/S de segurana e assinatura de tarefa de segurana.
No entanto, sozinho, o recurso de travamento para segurana no satisfaz aos
requisitos do SIL 3.
Nenhum aspecto de segurana pode ser modificado enquanto o controlador

estiver no estado travado para segurana. Quando o controlador est nesse estado,
as seguintes aes no so permitidas na Tarefa de Segurana:
Programao ou edio on-line ou off-line
Forando a E/S de Segurana
Manipulao de dados (exceto atravs da lgica da rotina ou de outro
controlador GuardLogix)
Criao ou edio das instrues add-on de segurana
Criao ou excluso da assinatura da tarefa de segurana
O estado padro do controlador est sem o travamento de segurana.

Voc pode colocar a aplicao de segurana em um estado de travamento de
segurana independentemente de o controlador estar on-line ou off-line e
independentemente de voc ter a fonte original do programa. No entanto,
nenhuma regra ou edio de segurana on-line pode estar presente. Os status de
com ou sem travamento de segurana no pode ser modificado quando a chave
seletora est na posio RUN.
Para fornecer uma camada de proteo adicional, senhas separadas podem ser
usadas para trav-lo ou destravar a segurana do controlador. As senhas so
opcionais.

Download do programa Aps o download, necessrio fazer um teste na aplicao, a menos que exista
uma assinatura da tarefa de segurana.
aplicativo de segurana
IMPORTANTE Para verificar a integridade de cada download, deve-se registrar
manualmente a assinatura da tarefa de segurana aps a criao inicial
e verificar a assinatura da tarefa de segurana aps cada download para
garantir que corresponda original.
Os downloads para um controlador GuardLogix com travamento de segurana

so permitidos somente se a assinatura da tarefa de segurana, a srie de hardware
e a verso do sistema operacional do projeto off-line coincidirem com os
contidos no controlador GuardLogix alvo e se o status da tarefa de segurana
do controlador estiver OK.
IMPORTANTE Se a assinatura da tarefa de segurana no corresponder e o controlador

estiver com travamento de segurana, voc dever desbloquear
o controlador para fazer download dele. Neste caso, o download para
o controlador apaga a assinatura da tarefa de segurana. Como resultado,
voc dever validar novamente a aplicao.
ATENO: A porta USB destina-se apenas a fins de programao local

temporria e no para conexo permanente.
Upload do programa de Se o controlador GuardLogix contiver uma assinatura de tarefa de segurana, se

far upload da assinatura ser com o projeto. Isso significa que as mudanas nos
segurana da aplicao dados de segurana off-line sero sobrescritas como resultado do upload.
Edio on-line Se no houver assinatura de tarefa de segurana e o controlador estiver com

travamento de segurana, voc poder executar edies on-line em suas rotinas
de segurana.
DICA No possvel editar as instrues add-on de segurana ou padro on-line.
No podem haver edies pendentes quando o controlador estiver com

travamento de segurana ou quando houver uma assinatura de tarefa de
segurana. Edies on-line podero existir quando o controlador estiver travado
para segurana. No entanto, elas no podero ser montadas ou canceladas.
DICA As edies on-line em rotinas padro no so afetadas pelo estado travado

ou no travado de segurana.
Consulte na pgina 59 para obter mais informaes sobre como fazer edies no
programa da aplicao.

Armazenamento e Os controladores GuardLogix 5570 suportam atualizaes de firmware e

armazenamento de programa do usurio e recuperao pelo uso de um carto
carregamento de um projeto de memria. Em um sistema GuardLogix, apenas o controlador primrio usa
de memria no voltil um carto para a memria no voltil.
Durante o armazenamento de um projeto de segurana em um carto de

memria, a Rockwell Automation recomenda que voc selecione Remote
Program como o modo de carregamento, ou seja, o modo em que o controlador
deve entrar aps a carga. Antes da operao real da mquina, necessrio
a interveno do operador para ligar a mquina.
S possvel iniciar a carga a partir de uma memria no voltil sob estas

condies:
Se o tipo de controlador especificado pelo projeto armazenado na memria
no voltil corresponder ao tipo de controlador
Se as revises principais e secundrias do projeto na memria no voltil
combinam com as revises principais e secundrias do seu controlador
Se o controlador no estiver no modo de operao
Carregar um projeto em um controlador com travamento de segurana s

permitido quando a assinatura da tarefa de segurana armazenada no projeto na
memria no voltil corresponder ao projeto no controlador. Se as assinaturas
no corresponderem ou se o controlador estiver com travamento de segurana
sem uma assinatura de tarefa de segurana, ser preciso primeiro destravar o
controlador antes de tentar atualizar o controlador usando a memria no voltil.
IMPORTANTE Se voc destravar o controlador e iniciar uma carga de uma memria no

voltil, o estado do travamento de segurana, as senhas e a assinatura da
tarefa de segurana utilizaro os valores contidos na memria no voltil
quando o carregamento for concludo.
Force de dados Todos os dados contidos em um tag de segurana consumido ou produzido de

E/S, incluindo CONNECTION_STATUS, podem ser forados enquanto
o projeto estiver sem o travamento de segurana e no houver assinatura da
tarefa de segurana. No entanto, os forces devem ser desinstalados, no apenas
desabilitados, em todos os tags de segurana para que o projeto de segurana
possa ficar com travamento de segurana ou uma assinatura de segurana possa
ser gerada. Voc no pode forar tags de segurana enquanto o projeto estiver
como travamento de segurana ou quando houver uma assinatura da tarefa de
segurana.
DICA Voc pode instalar e desinstalar regras em tags padro independentemente

do estado travado ou no travado para segurana.
Inibio de um dispositivo Voc no pode inibir ou desinibir os dispositivos de CIP Safety ou controladores
produtores se o programa aplicativo estiver com travamento de segurana ou se
existir uma assinatura da tarefa de segurana.
Siga estas etapas para inibir um dispositivo de E/S de segurana.

1. Na aplicao Logix Designer, clique com o boto direito no dispositivo

e escolha Properties.
2. Na caixa de dilogo Module Properties, selecione a guia Connection.
3. Marque Inhibit Connection e clique em Apply.
O dispositivo inibido sempre que a caixa de verificao estiver marcada.

Se um dispositivo de comunicao for inibido, todos os dispositivos
a jusante tambm sero inibidos.
Editando sua aplicao As regras a seguir aplicam-se alterao do programa aplicativo de segurana na
aplicao Logix Designer:
de segurana
Apenas pessoal autorizado e treinado pode editar o programa. Essas
pessoas devem usar mtodos de superviso disponveis, por exemplo,
usar a chave seletora do controlador e protees de senha no software.
Quando pessoal especialmente treinado e autorizado faz edies no
programa, eles assumiro a responsabilidade da segurana central enquanto
as alteraes estiverem em andamento. Esse pessoal tambm deve manter
a operao segura do aplicativo.
Quando estiver editando on-line, voc dever usar um mecanismo de
proteo alternativo para manter a segurana do sistema.
Voc deve documentar todas as edies no programa suficientemente,
incluindo o seguinte:
Autorizao
Anlise de impacto
Execuo
Informaes de teste
Informaes de reviso
Se as edies on-line existirem apenas nas rotinas padro, essas edies no
precisaro ser validadas antes de retornarem operao normal.
Voc deve garantir que as alteraes na rotina-padro, relacionadas
temporizao e ao mapeamento de tags, sejam aceitas para a sua aplicao
de segurana.
Voc pode editar a parte lgica do programa enquanto estiver on-line ou
off-line, conforme descrito nas prximas sees.

Realizao de edies off-line
Quando as edies off-line so feitas apenas em elementos do programa

padro e a assinatura de segurana encontra correspondncia logo aps um
descarregamento, voc pode reiniciar a operao.
Quando edies off-line afetam o programa de segurana, devem-se revalidar

todos os elementos afetados da aplicao, conforme determinado pela anlise
de impacto, antes de retornar aplicao.
O fluxograma na pgina 61 ilustra o processo da edio off-line.
Realizao de edies on-line
Se edies off-line afetam o programa de segurana, devem-se revalidar todos os

elementos afetados da aplicao, conforme determinado pela anlise de impacto,
antes de retornar aplicao. O fluxograma na pgina 61 ilustra o processo da
edio on-line.
DICA Limite as edies on-line a modificaes pequenas no programa, como

mudanas no ponto de definio ou pequenas adies de lgica, excluses
e modificaes na lgica.
As edies on-line so afetadas pelos recursos de travamento de segurana e de

assinatura de tarefa de segurana do controlador GuardLogix.
Consulte Gerao da assinatura da tarefa de segurana na pgina 53 e Travamento

do controlador GuardLogix na pgina 56 para obter mais informaes.
Para obter informaes detalhadas sobre como editar a lgica ladder na

aplicao Logix Designer enquanto estiver on-line, consulte Incio rpido
dos controladores Logix5000, publicao 1756-QS001.
Teste de impacto de modificao
Qualquer modificao, aprimoramento ou adaptao do seu software validado

deve ser planejada e analisada para qualquer impacto ao sistema de segurana
funcional. Todas as fases apropriadas do ciclo de vida de segurana do software
precisam ser realizadas conforme indicado pela anlise de impacto. No mnimo,
deve ser feito o teste funcional de todo o software com impacto. Todas as
modificaes s especificaes do seu software devem ser documentadas. Os
resultados de testes devem tambm ser documentados. Consulte IEC 61508-3,
Seo 7.8 Modificao de software, para informaes detalhadas.

Figura 16 Processo de edio on-line e off-line
Edio off-line Edio On-line
Abra o projeto Anexe ao controlador
Alguma alterao Sim No Faa as modificaes

Alguma alterao desejadas na lgica
de segurana? de segurana?
No padro
Destrave o controlador Sim
Destrave o controlador
Faa as modificaes
desejadas na lgica Apague a assinatura Teste o programa
padro de aplicao de segurana aplicativo
Apague a assinatura
de aplicao de segurana
Anexe ao controlador Faa as Modificaes
e descarregue Desejadas na Lgica de Faa as Modificaes
Segurana Desejadas
Teste o programa FIM
aplicativo Anexe ao controlador Teste o programa
e descarregue aplicativo
Confirme o projeto Gere a assinatura da

tarefa de segurana
Faa as modificaes
Teste de impacto de modificao necessrias
Passaram No Apague a assinatura

nos testes? de aplicao de segurana
Sim
Confirme o projeto
FIM
Registre a assinatura de
aplicao de segurana
Validao de Segurana
(Reviso Independente)
Projeto No
validado?
Sim
Trave o controlador
FIM

Observaes:

Captulo 7
Monitorao de status e manuseio de falhas
Tpico Pgina
Monitorao do status do sistema 63
Falhas do sistema GuardLogix 66
A arquitetura GuardLogix fornece a voc vrias maneiras de detectar e reagir

contra falhas no sistema. A primeira maneira que voc pode manusear
as falhas garantir que preencheu as listas de verificao de sua aplicao
(consulte o Apndice D).
Monitorao do status Pode-se visualizar o status de conexes de tag de segurana. Voc tambm pode
determinar o status operacional interrogando vrios objetos de dispositivo. sua
do sistema responsabilidade determinar quais dados so mais apropriados para iniciar uma
sequncia de encerramento.
Dados CONNECTION_STATUS
O primeiro membro da estrutura de tag associado aos dados de entrada de
segurana e aos dados de tag de segurana produzidos/consumidos contm
o status da conexo. Esse membro um tipo de dados predefinido chamado
CONNECTION_STATUS.
Figura 17 Caixa de dilogo de tipo de dados

Captulo 7 Monitorao de status e manuseio de falhas
Os dois primeiros bits do tipo de dados CONNECTION_STATUS contm

bits de status de dispositivo RunMode e ConnectionFaulted. A tabela a seguir
descreve as combinaes dos estados RunMode e ConnectionFaulted.
Tabela 8 Status da conexo de segurana

Status Status Operao de conexo de segurana
RunMode ConnectionFaulted
1 = Execuo 0 = Vlido Os dados esto sendo controlados ativamente pelo dispositivo de
produo. O dispositivo de produo est no modo Run.
0 = Inativo 0 = Vlido A conexo est ativa e o dispositivo de produo est no estado
inativo. Os dados de segurana so redefinidos como zero.
0 = Inativo 1 = Com Falha A conexo de segurana contm falhas. O estado do dispositivo de
produo desconhecido. Os dados de segurana so redefinidos
como zero.
1 1 Estado invlido.
ATENO: As conexes de E/S de segurana e as conexes produzidas/

consumidas no podem ser configuradas automaticamente para falhar
o controlador se uma conexo for perdida e se o sistema transicionar para
o estado seguro. Por isso, se precisar detectar uma falha no dispositivo
para garantir que o sistema mantenha o SIL 3, devem-se monitorar os bits
CONNECTION_STATUS de E/S de segurana e iniciar a falha atravs da lgica
do programa.
Diagnsticos de entrada e sada
Os mdulos Guard I/O fornecem teste de pulsos e recursos de monitorao. Se

o mdulo detecta uma falha, ele define a entrada ou sada com problema como
estado de segurana e reporta a falha ao controlador. A indicao de falha feita
atravs do status da entrada ou da sada e mantida por um perodo configurvel
aps a reparao da falha.
IMPORTANTE Voc responsvel por fornecer a lgica da aplicao para travar estas
falhas de E/S e certificar-se de que o sistema reiniciado adequadamente.
Status da conexo do dispositivo de E/S

O protocolo CIP Safety fornece o status para cada dispositivo de E/S no sistema
de segurana. Se uma falha da conexo de entrada detectada, o sistema
operacional define todas as entradas do dispositivo como estado desenergizado
(de segurana) e o status da entrada associada como falha. Se uma falha de
conexo de sada for detectada, o sistema operacional define o status da sada
associada como falha. O dispositivo de sada desenergiza as sadas.
IMPORTANTE Voc responsvel por fornecer a lgica da aplicao para travar estas
falhas de E/S e certificar-se de que o sistema reiniciado adequadamente.

Monitorao de status e manuseio de falhas Captulo 7
Sistema desenergizar para desarmar
Os controladores GuardLogix so parte de um sistema desenergizar para

desarmar, o que significa que zero o estado seguro. Algumas, mas no todas,
falhas do dispositivo de E/S de segurana fazem com que todas as entradas ou
sadas de dispositivos sejam configuradas para zero (estado seguro). As falhas
associadas a um canal de entrada especfico fazem com que aquele canal especfico
seja configurado para zero; por exemplo, uma falha de teste de pulso que seja
especfica para o canal 0 faz com que os dados de entrada do canal 0 sejam
configurados para o estado seguro (0). Se a falha for geral para o dispositivo e no
para um canal especfico, o bit de status combinado exibe o status de falha e todos
os dados do dispositivo so configurados para o estado seguro (0).
Para informaes sobre como usar as instrues de aplicao de segurana

GuardLogix, consulte Apndice F deste manual e o Manual de referncia de
segurana e instrues de aplicao GuardLogix, publicao 1756-RM095.
Instrues GSV e SSV
As instrues GSV e SSV permitem que voc obtenha (GSV) e defina (SSV)
dados do sistema do controlador armazenados em objetos de dispositivo. Quando
voc insere uma instruo GSV/SSV, o software de programao exibe as classes
de objeto vlidas, os nomes de objeto e os nomes de atributo para cada instruo.
H restries em relao ao uso das instrues GSV e SSV com componentes de
segurana.
IMPORTANTE A Tarefa de Segurana no pode executar uma operao GSV ou SSV

nos atributos padro.
Os atributos dos objetos de segurana que podem ser gravados pela
tarefa padro so apenas para finalidades de diagnstico. Eles no
afetam a execuo da Tarefa de Segurana.
Para mais informaes sobre que atributos de segurana esto acessveis atravs
das instrues GSV e SSV, consulte o Manual do usurio dos controladores
GuardLogix 5570, publicao 1756-UM022.
Para informaes gerais sobre o uso de instrues GSV e SSV, consulte

o Manual de referncia de instrues gerais dos controladores Logix5000,

Falhas do sistema H trs categorias de falhas no sistema GuardLogix:

GuardLogix Falhas no recuperveis do controlador
Falhas de segurana irrecuperveis
Falhas recuperveis
Para informaes sobre as falhas de manuseio, consulte o Manual do usurio dos

controladores GuardLogix 5570, publicao 1756-UM022.
Falhas no recuperveis do controlador
Uma falha do controlador irrecupervel ocorre se o diagnstico interno do

controlador falhar. A associao perdida quando uma falha no recupervel
do controlador ocorre no controlador principal ou no parceiro de segurana,
fazendo com que o outro gere uma falha de tempo-limite de watchdog no
recupervel. A execuo da tarefa padro e da Tarefa de Segurana encerrada
e a E/S de segurana transicionada para o estado seguro.
A recuperao de uma falha do controlador no recupervel requer o download

do programa aplicativo.
Falhas de segurana irrecuperveis
Se houver uma falha de segurana no recupervel, o controlador registra

a falha no manipulador de falhas com escopo de controlador e encerra a Tarefa
de Segurana, incluindo a E/S e a lgica de segurana.
Para se recuperar de uma falha de segurana irrecupervel, a memria de

segurana inicializada novamente na assinatura da tarefa de segurana (acontece
automaticamente quando voc remove a falha) ou, se no houver assinatura de
tarefa de segurana, atravs de um download explcito do projeto de segurana.
Voc pode cancelar a falha de segurana apagando a entrada do log de falhas

atravs do manipulador de falhas de segurana com escopo de controlador.
Isso permite que as tarefas padro continuem a ser executadas.
ATENO: O cancelamento da falha de segurana no a apaga! Se voc cancelar

a falha de segurana, sua responsabilidade provar que, mesmo assim,
consegue manter o SIL 3.

Monitorao de status e manuseio de falhas Captulo 7
Falhas recuperveis
As falhas do controlador causadas por erros de programao do usurio em um

programa de segurana disparam o controlador para processar a lgica contida
no manipulador de falhas do programa de segurana. O manipulador de falhas
do programa de segurana fornece ao aplicativo a oportunidade de resolver
a condio de falha e se recuperar.
ATENO: Voc deve fornecer prova para o rgo de certificao que

a recuperao automtica contra falhas recuperveis mantm o SIL 3.
Quando um manipulador de falhas do programa de segurana no existir

ou a falha no for recuperada por ele, o controlador processar a lgica no
manipulador de falhas com escopo do controlador, terminando a execuo
da lgica do programa de segurana e deixando as conexes de E/S ativas,
mas ociosas.
IMPORTANTE Quando a execuo de uma lgica do programa de segurana for terminada

devido a uma falha recupervel no manipulada pelo manipulador de
falhas do programa de segurana, as conexes de E/S de segurana sero
fechadas e reabertas para uma nova inicializao das conexes de
segurana.
Se a lgica do usurio for terminada como resultado de uma falha recupervel

que no recuperada, as sadas de segurana so colocadas no estado seguro
e o produtor dos tags consumidos de segurana ordena aos consumidores que
os coloquem em um estado seguro.
DICA Quando usar uma E/S de segurana para aplicaes padro, a E/S de
segurana ser comandada ao estado seguro se a lgica do usurio for
determinada como um resultado de uma falha recupervel que no
recuperada.
Se uma falha de segurana recupervel cancelada no manipulador de falhas

com escopo de controlador, apenas as tarefas padro so mantidas em execuo.
Se a falha no for cancelada, as tarefas padro tambm sero encerradas.
ATENO: O cancelamento da falha de segurana no a apaga! Se voc cancelar

a falha de segurana, sua responsabilidade provar que, mesmo assim,
consegue manter o SIL 3.

Observaes:

Apndice A
Instrues de segurana
Para mais informaes, consulte nossa certificao de segurana em

Tabela 9 e Tabela 10 listam as instrues de aplicaes de segurana que so

certificadas para uso em aplicaes SIL 3.
Tabela 9 Instrues gerais de aplicao de segurana
Mnemnico Nome Finalidade Certificao
CROUT Sada redundante configurvel Controla e monitora sadas redundantes. BG
TV
DCA Entrada de canal duplo Analgica TV
(verso de nmero inteiro)
Monitora dois valores analgicos para desvio e tolerncia de faixa.
DCAF Entrada de canal duplo Analgica
(verso de ponto flutuante)
DCS Entrada de canal duplo Parada Monitora os dispositivos de segurana de entrada dupla, cuja principal finalidade permitir uma BG
funo de parada, como parada de emergncia, cortina de luz ou switch. TV
DCST Entrada de canal duplo Monitora os dispositivos de segurana de entrada dupla, cuja principal finalidade permitir uma BG
Parada com teste funo de parada, como parada de emergncia, cortina de luz ou switch. Inclui a capacidade TV
adicional de iniciar uma funo de teste no dispositivo de parada.
DCSTL Entrada de canal duplo Monitora os dispositivos de segurana de entrada dupla, cuja principal finalidade permitir uma BG
Parada com teste e trava funo de parada, como parada de emergncia, cortina de luz ou switch. Inclui a capacidade TV
adicional de iniciar uma funo de teste no dispositivo de parada. Ela pode monitorar um sinal de
realimentao de um dispositivo de segurana e emitir uma solicitao de travamento para um
dispositivo de segurana.
DCSTM Entrada de canal duplo Monitora os dispositivos de segurana de entrada dupla, cuja principal finalidade permitir uma TV
Parada com teste e muting. funo de parada, como parada de emergncia, cortina de luz ou switch. Inclui a capacidade
adicional de iniciar um teste funcional do dispositivo de parada e a habilidade de colocar em
muting o dispositivo de segurana.
DCM Entrada de canal duplo Monitora os dispositivos de entrada dupla. BG
Monitorao TV
DCSRT Entrada de canal duplo Partida Energiza os dispositivos de segurana, cuja funo principal dar a partida no equipamento de BG
forma segura, por exemplo, uma habilitao pendente. TV
SMAT Tapete de segurana Indica se o tapete de segurana est ocupado. TV
THRSe Estao de operao bimanual Monitora duas entradas de segurana diferentes, uma de um boto pulsador direito e uma de um BG
Avanada boto pulsador esquerdo, para controlar uma sada simples. Recursos configurveis de tempo de TV
discrepncia canal a canal e capacidade aprimorada para o bypass de uma operao de estao
bimanual.
TSAM Sensor duplo de muting Desabilita a funo de proteo de uma cortina de luz automtica e temporariamente, usando dois TV
assimtrico sensores de muting que so organizados assimetricamente.
TSSM Sensor duplo de muting simtrico Desabilita a funo de proteo de uma cortina de luz automtica e temporariamente, usando dois TV
sensores de muting que so organizados simetricamente.
FSBM Sensor qudruplo bidirecional Desabilita a funo de proteo de uma cortina de luz automtica e temporariamente, usando TV
de muting quatro sensores de muting que so organizadas de forma sequencial antes e depois do campo de
deteco da cortina de luz.

Apndice A Instrues de segurana
Tabela 10 Instrues de aplicao de segurana de conformao de metal

Mnemnico Nome Finalidade Certificao
CBCM Modo Contnuo de Freio de Usado para aplicaes de prensa onde se deseja a operao contnua. BG
Embreagem TV
CBIM Modo de avano lento de Freio Usado para aplicaes de prensa onde pequenos ajustes ao dispositivo corredio so necessrios, BG
de Embreagem bem como a configurao da prensa. TV
CBSSM Modo de Alimentao Simples do Usado em aplicaes de prensa de ciclo-simples. BG
Freio da Embreagem TV
CPM Monitorar a Posio Virabrequim. Usado para determinar a posio do dispositivo corredio da prensa. BG
TV
CSM Monitorar Eixo de cames Monitora o movimento de partida, parada e execuo na operao de um eixo de cames. BG
TV
EPMS Modo Seletor de 8 Posies Monitora oito entradas de segurana para controlar uma das oito sadas que corresponde entrada BG
ativa. TV
AVC Controle de Vlvula Auxiliar Controla uma vlvula auxiliar que usada com uma vlvula principal. TV
MVC Controle de Vlvula Principal Controla e monitora uma vlvula principal. BG
TV
MMVC Controle de Manuteno de Usado para impulsionar manualmente uma vlvula durante operaes de manuteno. BG
Vlvula Manual TV
Rotinas na tarefa de segurana podem usar essas instrues de segurana de lgica

ladder.
Tabela 11 Instrues de segurana da lgica ladder
Tipo Mnemnico Nome Finalidade
FAL(1) Aritmtica e lgica do Realize operaes de cpia, aritmtica, lgica e funo em dados armazenados em um vetor
arquivo
Vetor FLL(1) Preencher arquivo Preencha o elemento de um vetor com o Valor de Sada, enquanto deixa o valor de sada sem modificao
(Arquivo) FSC(1) Pesquisa e comparao de Compare o valor em um vetor, elemento por elemento
arquivo
DIMENSES(1) Dimenses em elementos Encontre o tamanho de uma dimenso no vetor
XIC Verifique se estiver Fechada Habilitar sadas quando um bit estiver configurado
XIO Verifique se estiver Aberta Habilitar sadas quando um bit for apagado
OTE Energizar Sada Habilitar um bit
OTL Energizar sada com Habilitar um bit (reteno)
reteno
Bit OTU Desenergizador de sada Apagar bit (reteno)
com reteno
ONS Monoestvel Acionar um evento para que ocorra uma vez
OSR Monoestvel Ascendente Acionar um evento para que ocorra uma vez no momento falso para verdadeiro (crescente) da alterao de
estado
OSF Monoestvel Descendente Acionar um evento para que ocorra uma vez no momento verdadeiro para falso (decrescente) da alterao de
estado
TON Temporizador de Por quanto tempo o temporizador habilitado
energizao
TOF Temporizador de Por quanto tempo o temporizador desabilitado
desenergizao
Temporizador RTO Temporizador retentivo Tempo acumulado
ligado
CTU Contagem progressiva Contagem progressiva
CTD Contagem regressiva Contagem regressiva
RES Reinicializar Reinicializar um temporizador ou contador

Instrues de segurana Apndice A
Tabela 11 Instrues de segurana da lgica ladder

Tipo Mnemnico Nome Finalidade
CMP(1)(2) Comparao Fazer uma comparao das operaes aritmticas que voc especificar na expresso
EQU Corresponde a Testar se dois valores so iguais
GEQ Maior ou Igual a Testar se um valor maior do que ou igual a um segundo valor
GRT Maior que Testar se um valor maior que um segundo valor
LEQ Menor ou Igual a Testar se um valor menor que ou igual a um segundo valor
Comparao
LES Menor que Testar se um valor menor que um segundo valor
MEQ Comparao Mascarada Passar a origem e comparar valores por meio de uma mscara e testar se eles so iguais
para Igualdade
NEQ No Igual a Testar se um valor diferente de um segundo valor
LIM Teste de Limite Testar se um valor est em uma faixa especificada
CLR Apagar Apagar um valor
COP(3) Copiar Copiar um valor
Mover MOV Mover Copiar um valor
MVM Mover mascarado Copiar uma parte especfica de um nmero inteiro
SWPB(1) Swap Byte Reorganizar os bytes de um valor
AND Bitwise AND Executar a operao AND bit a bit
NOT Bitwise NOT Executar a operao NOT bit a bit
Lgica
OR Bitwise OR Executar a operao OR bit a bit
XOR Bitwise Exclusive OR Executar a operao OR exclusiva bit a bit
JMP Saltar para registro Pular uma seo de lgica que nem sempre precisa ser executada (pula para a instruo da etiqueta
mencionada)
LBL Etiqueta Rotular uma instruo para que ela possa ser mencionada por uma instruo JMP
JSR Saltar para sub-rotina Pular para uma rotina separada
RET Retorno Retornar os resultados de uma sub-rotina
Controle de SBR Sub-rotina Passar dados para uma sub-rotina
Programa
TND Fim Temporrio Marcar um fim temporrio que encerre a execuo da rotina
MCR Reset de Controle Mestre Desabilitar todas as linhas em uma seo de lgica
AFI Instruo Sempre Falsa Desabilitar uma linha
NOP Sem Operao Inserir um espao reservado na lgica
EVENTO Disparar a tarefa do evento Disparar uma execuo de uma tarefa de evento(5)
ADICIONAR Adicionar Somar dois valores
CPT(1) Computar Realizar a operao aritmtica definida na expresso
SUB Subtrair Subtrair dois valores
MUL Multiplicar Multiplicar dois valores
Matemtica/ DIV Dividir Dividir dois valores
Computao
MOD Mdulo Determinar o restante depois que um valor for dividido por um segundo valor
SQR Raiz Quadrada Calcular a raiz quadrada de um valor
NEG Negar Pegar o sinal oposto de um valor
ABS Valor Absoluto Pegar o valor absoluto de um valor
GSV(4) Obter valor do sistema Obter informaes de status do controlador
E/S
SSV(4) Configurar valor do sistema Configurar informaes de status do controlador
(1) Suportado apenas em controladores 1756-L7xS e 1756-L7xSXT. Para o tipo de dados REAL, um formato de ponto flutuante suportado para rotinas de segurana em controladores
1756-L7xS e 1756-L7xSXT.
(2) Operandos avanados como SIN, COS e TAN no so suportados em rotinas de segurana.
(3) O operando de comprimento deve ser uma constante quando a instruo COP for usada em uma rotina de segurana. Os comprimentos da origem e do destino devem ser os mesmos.
(4) Consulte o GuardLogix 5570 Controllers User Manual, publicao 1756-UM022, para consideraes especiais quando usar as instrues GSV e SSV.
(5) A instruo de evento disparar uma varredura da tarefa padro.

Apndice A Instrues de segurana
IMPORTANTE Se estiver usando Motion Direct Commands com um servo-drive Kinetix 5500,
consulte o Kinetix 5500 Servo Drives User Manual, publicao 2198-UM001,
para informaes sobre como usar esse recurso em aplicaes de segurana.
Consulte essas publicaes para mais informaes.
Tabela 12 Recursos adicionais

Recurso Descrio
GuardLogix Safety Application Instruction Set Reference Fornece mais informaes sobre as instrues da
Manual, publicao 1756-RM095 aplicao de segurana
Logix5000 Controllers General Instructions Reference Manual, Contm informaes detalhadas sobre o conjunto
publicao 1756-RM003 de instrues Logix

Apndice B
Instrues add-on de segurana
Tpico Pgina
Criar e usar uma instruo add-on de segurana 73
Recursos adicionais 78
Com a aplicao Logix Designer, podem-se criar Instrues Add-On

de segurana. As instrues de segurana add-on permitem que voc
sintetize a lgica de segurana geralmente usada em uma nica instruo,
transformando-a em modular e mais fcil de ser reutilizada.
As instrues add-on de segurana usam a assinatura de instruo de alta

integridade de instrues add-on e tambm uma assinatura de instruo de
segurana SIL 3 para uso em funes relacionadas segurana at SIL 3 inclusive.
Criar e usar uma instruo O fluxograma na pgina 74 mostra as etapas necessrias para criar uma instruo
add-on de segurana e us-la em um programa de aplicao de segurana SIL 3.
add-on de segurana Os itens sombreados so etapas nicas para as instrues add-on. Os itens em
negrito esto explicados nas prximas sees do fluxograma.

Apndice B Instrues add-on de segurana
Figura 18 Fluxograma para criao e uso de instrues add-on de segurana

Usar uma instruo add-on de segurana
Criar uma instruo add-on de segurana
Modificar uma instruo Criar ou abrir um projeto
add-on de segurana Criar um projeto de teste de instruo add-on
(off-line)
Importar instruo add-on de segurana
Criar instruo add-on de segurana
Criar/modificar aplicao
Gerar assinatura de instruo
Fazer download
Criar/modificar programa de teste
Verificar assinaturas de instruo

Fazer download add-on de segurana
Modificar instruo (Gerar assinatura de instruo
add-on de segurana de segurana)
Retornar para o projeto No Instruo de assinatura
de teste original vlida?
Excluir assinatura de Alterar modo de operao
instruo Sim
Retornar para o projeto No Assinatura

Fazer teste de qualificao de
de teste original de instruo de segurana
Ficar off-line instruo Add-On SIL 3 vlida?
Sim
Excluir a assinatura de tarefa de No Todos os
segurana, caso exista testes passaram? Testar o programa aplicativo
Sim
Confirmar projeto Alterar modo para programa
Validar segurana de instruo add-on

Criar assinatura de tarefa de segurana
Criar entrada de histrico de assinatura

(off-line) Fazer as Confirmar projeto
modificaes
necessrias
Registrar Assinatura de Instruo, Data/Hora
e Assinatura de Instruo de Segurana Alterar modo de operao
Excluir a assinatura de tarefa
de segurana
Exportar instruo add-on de segurana Teste de verificao do projeto
No
Instruo add-on de segurana
disponvel para uso Mudanas
No Todos os
para a instruo add-on
testes passaram?
Sim so necessrias?
Sim
Registrar a assinatura de tarefa de segurana
Projeto validado de segurana
No
Projeto validado?
Sim
Concludo

Instrues add-on de segurana Apndice B
Criar um projeto de teste de instruo add-on
Voc deve criar um nico teste de projeto, especificamente para criar e testar
a instruo add-on de segurana. Esse projeto deve ser separado e especfico para
minimizar consequncias inesperadas.
Siga as orientaes para projetos descritas em Criao do projeto na pgina 53.
Criar uma instruo add-on de segurana
Para obter orientaes sobre como criar instrues add-on, consulte

o Logix5000 Controllers Add-On Instruction Programming Manual,
publicao 1756-PM010.
Gerar assinatura de instruo
A assinatura da instruo permite que voc determine rapidamente se a instruo

foi alterada. Cada instruo add-on pode ter sua prpria assinatura. A assinatura
de instruo solicitada quando uma instruo add-on for usada em funes
relacionadas segurana e, algumas vezes, podem ser solicitadas para indstrias
regulamentadas. Use-a quando sua aplicao precisar de um nvel mais alto de
integridade.
A assinatura de instruo consiste em um nmero ID e um registro de data e hora

que identifica o contedo da instruo add-on em um tempo determinado.
Uma vez gerada, a assinatura de instruo trava a instruo add-on que evita que
ela seja editada enquanto a assinatura estiver acionada. Essa restrio inclui
comentrios de linha, descries de tag e qualquer documentao de instruo
que seja criada. Quando a instruo est travada, voc pode realizar apenas estas
aes:
Copiar a assinatura de instruo
Criar ou copiar uma entrada de histrico de assinatura
Criar exemplos de Instruo Add-On
Baixar a instruo
Remover a assinatura de instruo
Imprimir relatrios

Quando uma assinatura de instruo gerada, a aplicao Logix Designer exibe

a definio da instruo com o cone do selo.
IMPORTANTE Caso pretenda proteger sua instruo add-on usando a funo de proteo
de fonte na aplicao Logix Designer, voc deve habilitar a proteo de
fonte antes de gerar a assinatura de instruo.
Download e gerar a assinatura de instruo de segurana
Quando se faz download de uma Instruo Add-On de segurana travada pela

primeira vez, uma assinatura de instruo de segurana SIL 3 gerada automatica-
mente. A assinatura da instruo de segurana um nmero de ID que identifica
as caractersticas de execuo da Instruo Add-On de segurana.
Teste de qualificao de instruo Add-On SIL 3
O teste da Instruo Add-On de Segurana SIL 3 deve ser feito em uma

aplicao dedicada em separado para garantir que influncias indesejveis sejam
minimizadas. Voc deve acompanhar um teste bem projetado e realizar um teste
de unidade de instruo add-on de segurana que exercite todos os caminhos de
execuo possveis por meio da lgica, incluindo as faixas vlidas e invlidas de
todos os parmetros de entrada.
O desenvolvimento de todas as Instrues Add-On de segurana deve cumprir

as Exigncias para teste de mdulo de software IEC 61508, que fornece as
exigncias detalhadas para o teste de unidade.
Confirmar o projeto
Voc deve imprimir ou exibir o projeto e comparar manualmente as

configuraes de E/S e do controlador de segurana carregadas, os dados de
segurana, definies de instruo add-on e a lgica do programa de segurana
para garantir que se fez download dos componentes de segurana corretos,
e foram testados e retidos no programa aplicativo de segurana.
Consulte Confirmao do projeto na pgina 55 para uma descrio de um

mtodo para confirmar um projeto.

Instrues add-on de segurana Apndice B
Instrues Add-On de segurana validada
Uma reviso de terceiros independentes da instruo de segurana add-on pode

ser solicitada antes que a instruo seja aprovada para o uso. Uma validao de
terceiros independentes solicitada para a SIL 3 IEC 61508.
Criar uma entrada de histrico de assinatura
O histrico de assinatura fornece um registro para referncia futura. Uma entrada

de histrico de assinatura consiste na instruo de assinatura, no nome do usurio,
o valor do registro de data e hora e uma descrio definida pelo usurio. At seis
entradas de histrico podem ser armazenadas. Voc deve estar off-line para criar
uma entrada de histrico de assinatura.
DICA O relatrio de listagem de assinatura na aplicao Logix Designer imprime

as instrues de assinatura, o registro de data e hora e a assinatura da
instruo de segurana. Para imprimir o relatrio, clique com o boto
direito do mouse em Add-On Instruction no organizador do controlador
e escolha Print>Signature Listing.
Exportar e importar a instruo Add-on de segurana

Quando exportar uma Instruo Add-On de segurana, escolha a opo
para incluir todas as Instrues Add-On e os Tipos definidos pelo usurio
referenciados no mesmo arquivo para exportao. Ao incluir as Instrues
Add-On referenciadas, ser mais fcil preservar as assinaturas.
Quando importar Instrues Add-On, considere essas orientaes:

No se pode importar uma Instruo Add-On de segurana para um
projeto padro.
No se pode importar uma Instruo Add-On de segurana para um
projeto de segurana que tem trava de segurana ou que tenha uma
assinatura de tarefa de segurana.
No se pode importar uma Instruo Add-On de segurana enquanto
estiver on-line.
Caso importe uma Instruo Add-On com uma assinatura de instruo
para um projeto quando Instrues Add-On ou Tipos Definidos pelo
Usurio referenciado no estiverem disponveis, preciso remover
a assinatura.
Verificar assinaturas de instruo add-on de segurana

Depois de fazer download do projeto de aplicao que contm a instruo add-on
de segurana importada, voc deve comparar o valor da instruo de assinatura,
a data e o registro de data e hora e os valores da assinatura da instruo de
segurana com os valores originais que registrou anteriormente para exportar
a instruo add-on de segurana. Se forem correspondentes, a Instruo Add-On
de segurana vlida e possvel continuar com a validao de sua aplicao.

Testar o programa aplicativo
Esta etapa consiste em uma combinao de modo de Operao e modo de

Programa, edies de programa on-line ou off-line, fazer upload e download,
e testes informais que so exigidos para executar a aplicao adequadamente.
Realizar um teste de engenharia da aplicao, incluindo o sistema de segurana.
Consulte Teste de verificao do projeto na pgina 54 para mais informaes

sobre as especificaes.
Projeto validado de segurana
Uma reviso independente, feita por terceiros, do sistema de segurana pode ser
necessria para que o sistema seja considerado aprovado para operao. Uma
validao de terceiros independentes solicitada para a SIL 3 IEC 61508.
Recursos adicionais Para mais informaes sobre com usar as instrues add-on, consulte estas
publicaes.
Recurso Descrio
Logix5000 Controllers Add-On Instructions Programming Fornece informaes sobre como planejar, criar, usar,
Manual, publicao 1756-PM010 importar e exportar as instrues add-on em aplicaes
RSLogix 5000
Import/Export Project Components Programming Contm informaes detalhadas sobre como importar
Manual, publicao 1756-PM019 e exportar os componentes do projeto

Apndice C
Tempos de reao
Tpico Pgina
Tempo de reao do sistema 79
Tempo de reao do sistema Logix 79
Tempo de reao do sistema Para determinar o tempo de reao do sistema de qualquer cadeia de controle,
voc deve somar os tempos de reao de todos os componentes da cadeia de
segurana.
Tempo de Reao do Sistema = Tempo de Reao do Sensor + Tempo de Reao

do Sistema Logix + Tempo de Reao do Atuador
Figura 19 Tempo de reao do sistema

Tempo de reao do sistema
Tempo de Tempo de reao Tempo de reao Tempo de reao Tempo de

reao do sensor da entrada da tarefa de da sada reao do atuador
segurana
Tempo de reao do sistema Logix
Atraso de Limite de tempo de Perodo de tarefa de segurana Limite de tempo de Atraso do

dispositivo reao de conexo + reao de conexo dispositivo
Watchdog da tarefa de
entrada de entrada segurana de sada de sada
Tempo de reao do As prximas sees fornecem informaes sobre como calcular o Tempo de
Reao do Sistema Logix para uma cadeia entrada-lgica-sada simples e para uma
sistema Logix aplicao mais complexa que use tags de segurana produzidos/consumidos na
cadeia lgica.

Apndice C Tempos de reao
Cadeia entrada-lgica-sada simples

Figura 20 Tempo de reao do pior caso do sistema Logix para entrada simples para lgica
para sada
3. Perodo da tarefa de
segurana + Watchdog
da tarefa de segurana
Mdulo de comunicao
Controlador GuardLogix
1. Atraso de 2. Limite de tempo de reao de 4. Limite de tempo de reao de 5. Atraso de
dispositivo de conexo de entrada de segurana conexo de sada de segurana dispositivo de
entrada de sada de
segurana segurana
Rede CIP Safety
O tempo de reao do sistema Logix para qualquer entrada simples para lgica
para cadeia de sada consiste destes cinco componentes:
1. Tempo de reao de dispositivo de entrada de segurana (mais o tempo de

atraso de entrada, se aplicvel)
2. Limite de tempo de reao de conexo de entrada de segurana
(Leia na caixa de dilogo Module Properties na aplicao Logix Designer,
este valor um mltiplo da conexo do mdulo de entrada de segurana
RPI.)
3. Perodo da tarefa de segurana mais o tempo de watchdog da tarefa de
segurana
4. Limite de tempo de reao de conexo de sada de segurana
(Leia na caixa de dilogo Module Properties na aplicao Logix Designer,
este valor um mltiplo do perodo da tarefa de segurana.)
5. Tempo de reao do dispositivo de sada de segurana
Para ajud-lo a determinar o tempo de reao da malha de controle determinada,

uma planilha do Microsoft Excel est disponvel na pasta Tools do DVD de
ambiente Studio 5000.

Tempos de reao Apndice C
Cadeia de lgica usando tags de segurana produzidos/consumidos

Figura 21 Tempo de reao do sistema Logix para a cadeia entrada para a lgica do
Controlador A para a lgica do Controlador B para a sada
4. Limite de tempo de reao de conexo de segurana P/C
Switch
Rede EtherNet Rede
Ethernet Ethernet
3. Perodo da tarefa de 5. Perodo da tarefa de

segurana + Watchdog segurana + Watchdog
da tarefa de segurana Mdulo DeviceNet da tarefa de segurana
Mdulo DeviceNet
Mdulo EtherNet
Mdulo EtherNet
Controlador A
Controlador B
GuardLogix
GuardLogix
1. Atraso de 2. Limite de tempo de reao de 6. Limite de tempo de reao de 7. Atraso de
dispositivo de conexo de entrada de segurana conexo de sada de segurana dispositivo de
entrada de sada de
segurana Rede CIP Safety segurana
Rede CIP Safety
O tempo de reao do sistema Logix para qualquer cadeia entrada para lgica
do controlador A para lgica do controlador B para sada consiste nestes sete
componentes:
1. Tempo de reao de dispositivo de entrada de segurana (mais o tempo

de atraso de entrada, se aplicvel)
2. Limite de tempo de reao de conexo de entrada de segurana
3. Perodo de tarefa de segurana mais o tempo de watchdog da tarefa de
segurana para o Controlador A
4. Limite de tempo de reao de conexo de segurana produzida/consumida
5. Perodo de tarefa de segurana mais o tempo de watchdog da tarefa de
segurana para o Controlador B
6. Limite de tempo de reao de conexo de sada de segurana
7. Tempo de reao do dispositivo de sada de segurana
Para ajud-lo a determinar o tempo de reao da malha de controle determinada,

uma planilha do Microsoft Excel est disponvel na pasta Tools do DVD de
ambiente Studio 5000.

Fatores que afetam o tempo Os componentes do tempo de reao do Logix descritos nas sees anteriores
podem ser influenciados por vrios fatores.
de reao do Logix
Tabela 13 Fatores que afetam o tempo de reao do sistema logix
Estes componentes do tempo de reao So influenciados pelos fatores a seguir
Atraso de dispositivo entrada Tempo de reao do dispositivo de entrada
Configuraes de atraso de On-Off e Off-On para cada canal de
entrada, se aplicvel
Limite de tempo de reao de conexo de entrada Configuraes do dispositivo de entrada para:
de segurana Intervalo do pacote requisitado (RPI)
Multiplicador de tempo-limite
Multiplicador de atraso
A quantidade do trfego de comunicao da rede
O ambiente EMC do sistema
Perodo da tarefa de segurana e watchdog da Configurao do Perodo da Tarefa de Segurana
tarefa de segurana
Configurao do Watchdog da Tarefa de Segurana
O nmero e o tempo de execuo das instrues na Tarefa de
Segurana
Quaisquer tarefas de prioridade maior que podem ser antecipar
a execuo da tarefa de segurana
Limite de tempo de reao de conexo de Configuraes de tag consumido para:
segurana produzida/consumida RPI
Limite de tempo de reao de conexo de sada Configurao do Perodo da Tarefa de Segurana
Configurao do dispositivo de sada para:
Atraso do mdulo de sada Tempo de reao do mdulo de sada
As seguintes sees descrevem como acessar os dados ou configuraes para

muitos destes fatores.
Acessando configuraes do tempo de atraso do mdulo

de entrada Guard I/O
Para configurar o tempo de atraso do mdulo de entrada na aplicao Logix

Designer, siga estas etapas.
1. Na rvore de configuraes, clique com o boto direito no seu mdulo

Guard I/O e escolha Properties.
2. Clique na guia Input Configuration.

3. Ajuste o tempo de atraso de entrada conforme necessrio para a sua

aplicao.
Acesso ao limite de tempo de reao de conexo de segurana

de entrada e sada
O limite de tempo de reao de conexo definido por estes trs valores:
Valor Descrio
Intervalo do pacote requisitado a frequncia com que os pacotes de entrada e sada so colocados no fio (rede).
(RPI)
Multiplicador de tempo-limite O multiplicador de tempo-limite essencialmente o nmero de novas tentativas
antes do tempo-limite.
Multiplicador de atraso de rede O multiplicador de atraso de rede responsvel por qualquer atraso conhecido
na fiao. Quando estes atrasos ocorrem, os tempos-limite podem ser evitados
usando este parmetro.
Pelo ajuste destes valores, pode-se ajustar o limite de tempo de reao de conexo.
Para visualizar ou configurar estes ajustes de parmetros, siga estas etapas.
1. Na rvore de configuraes, clique com o boto direito no seu dispositivo

de E/S de segurana e escolha Properties.
2. Clique na guia Safety.

3. Clique em Advanced para abrir a caixa de dilogo Advanced Connection

Reaction Time Limit.
Configurando o perodo da tarefa de segurana e watchdog

A tarefa de segurana uma tarefa peridica/temporizada. Voc seleciona
a prioridade da tarefa e o tempo de watchdog atravs da caixa de dilogo Task
Properties Safety Task no seu projeto Logix Designer.
Para acessar as configuraes do perodo de tarefa de segurana e tempo de

watchdog, clique com o boto direito em Safety Task e escolha Properties.
A prioridade da tarefa de segurana no uma preocupao de segurana, j que

o watchdog da tarefa de segurana monitora se a tarefa interrompida por uma
tarefa de prioridade mais alta.

Acessando dados de tags produzidos/consumidos
Para visualizar ou configurar dados de conexo de tags de segurana, siga estas

etapas.
1. Na rvore de configurao, clique com o boto direito em Controller Tags

e escolha Edit tags.
2. Em Tag Editor, clique com o boto direito no nome do tag e escolha Edit
Properties.
3. Clique em Connection.
4. Clique na guia Safety.

5. Clique em Advanced para visualizar ou editar as configuraes atuais.
Consulte GuardLogix 5570 Controllers User Manual, publicao 1756-UM022

para mais informaes.

Apndice D
Listas de verificao para as aplicaes

de segurana do GuardLogix
Tpico Pgina
Lista de verificao para o sistema do controlador GuardLogix 88
Lista de verificao para entradas de segurana 89
Lista de verificao para sadas de segurana 90
Lista de verificao para desenvolver um programa aplicativo de segurana 91
As listas de verificao deste apndice so necessrias para planejar, programar

e iniciar uma aplicao GuardLogix certificada para SIL 3. Elas podem ser usadas
como guias de planejamento e durante o teste de verificao do projeto. Se usadas
como guias de planejamento, as listas de verificao podem ser salvas como um
registro do plano.
As listas de verificao includas nas prximas pginas fornecem um exemplo

de consideraes de segurana e no tm inteno de serem uma lista completa
de itens a serem verificados. A sua aplicao de segurana especfica pode ter
especificaes de segurana adicionais, para os quais fornecemos espao nas listas
de verificao.
DICA Faa cpias das listas de verificao e guarde estas pginas para o futuro.

Apndice D Listas de verificao para as aplicaes de segurana do GuardLogix
Lista de verificao para o sistema do controlador GuardLogix

Lista de verificao para o sistema GuardLogix
Empresa
Planta
Definio da funo de segurana
Satisfeito Comentrio
Nmero Especificaes do sistema
Sim No
1 Voc est usando somente componentes listados em Componentes GuardLogix certificados para SIL 3 na
pgina 16 e no site http://www.rockwellautomation.com/products/certification/safety/, com a verso do
firmware correspondente?
2 Voc calculou o tempo de resposta de segurana do sistema para cada cadeia de segurana?
3 O tempo de resposta do sistema inclui o tempo do software de watchdog do programa da tarefa de segurana
definido pelo usurio (watchdog do software) e o perodo/taxa da tarefa de segurana?
4 O tempo de resposta do sistema tem uma relao adequada com o tempo de tolerncia do processo?
5 Os valores de probabilidade (PFD/PFH) foram calculados de acordo com a configurao do sistema?
6 Voc executou todos os testes de verificao projeto adequados?
7 Voc determinou a forma como o sistema lidar com as falhas?
8 Cada rede no sistema de segurana possui um SNN exclusivo?
9 Todos os dispositivos CIP Safety esto configurado com o SNN correto?
10 Voc gerou uma assinatura tarefa de segurana?
11 Voc carregou e registrou a assinatura de tarefa de segurana para comparao futura?
12 Aps um download, voc verificou se a assinatura da tarefa de segurana no controlador corresponde
assinatura de tarefa de segurana registrada?
13 Voc tem um mecanismo alternativo para preservar a integridade da segurana do sistema quando estiver
fazendo edies on-line?
14 Voc levou em considerao as listas de verificao para usar as entradas e sadas SIL listadas nas
pginas 89 e 90?

Listas de verificao para as aplicaes de segurana do GuardLogix Apndice D
Lista de verificao para Para programao ou partida, uma lista de verificao individual pode ser
preenchida para cada canal de entrada SIL em um sistema. Esse mtodo
entradas de segurana a nica forma de garantir que os requisitos esto completamente e claramente
implementados. Essa lista de verificao tambm pode ser usada como
documentao sobre a conexo de fiao externa para o programa aplicativo.
Lista de verificao para o sistema GuardLogix
Empresa
Planta
Canais de entrada SIL
Satisfeito
Nmero Requisitos do dispositivo de entrada Comentrio
Sim No
1 Voc seguiu as instrues de instalao e as precaues de forma a ficar em conformidade com os padres de segurana
aplicveis?
2 Voc executou testes de verificao do projeto no sistema e nos dispositivos?
3 As funes de controle, diagnstico e de alarme so executadas em sequncia na lgica do aplicativo?
4 Voc fez upload e comparou a configurao de cada dispositivo com a configurao enviada pela ferramenta de
configurao?
5 Os dispositivos conectados esto em conformidade com PLe/Cat. 4 de acordo com ISO 13849-1?(1)
6 Voc verificou se as especificaes eltricas do sensor e da entrada so compatveis?
(1) Para obter informaes sobre como fazer a fiao no dispositivo de E/S CIP Safety, consulte a documentao do produto para seu dispositivo especfico.

Lista de verificao para Para programao ou partida, uma lista de verificao de especificaes
individuais deve ser preenchida para cada canal de sada SIL em um sistema.
sadas de segurana Esse mtodo a nica forma de garantir que os requisitos esto completamente
e claramente implementados. Essa lista de verificao tambm pode ser usada
como documentao sobre a conexo de fiao externa para o programa
aplicativo.
Lista de verificao de sada para o sistema GuardLogix
Empresa
Planta
Canais de sada SIL
Satisfeito
Nmero Requisitos do dispositivo de sada Comentrio
Sim No
1 Voc seguiu as instrues de instalao e as precaues de forma a ficar em conformidade com os padres de
segurana aplicveis?
2 Voc executou testes de verificao do projeto nos dispositivos?
3 Voc fez upload e comparou a configurao de cada dispositivo com a configurao enviada pela ferramenta de
configurao?
4 Voc verificou se as sadas do teste no so usadas como sadas de segurana?
5 Os dispositivos conectados esto em conformidade com PLe/Cat. 4 de acordo com ISO 13849-1?(1)
6 Voc verificou se as especificaes eltricas da sada e do atuador so compatveis?
(1) Para obter informaes sobre como fazer a fiao no dispositivo de E/S de segurana, consulte a documentao do produto para seu dispositivo especfico.

Listas de verificao para as aplicaes de segurana do GuardLogix Apndice D
Lista de verificao para Use a prxima lista de verificao para ajudar a manter a segurana ao criar ou
modificar um programa aplicativo de segurana.
desenvolver um programa
aplicativo de segurana
Lista de verificao para o desenvolvimento do programa aplicativo do GuardLogix
Empresa
Planta
Definio do projeto
Satisfeito
Nmero Especificaes do programa aplicativo Comentrio
Sim No
1 Voc est usando a verso 21 ou posterior da aplicao Logix Designer, a ferramenta de programao do
sistema GuardLogix?
2 As orientaes de programao no Captulo 6 foram seguidas durante a criao do programa aplicativo de
segurana?
3 O programa aplicativo de segurana contm lgica ladder?
4 O programa aplicativo de segurana contm apenas as instrues listadas no Apndice A conforme adequadas
para a programao da aplicao de segurana?
5 O programa aplicativo de segurana diferencia claramente os tags de segurana e padro?
6 Apenas tags de segurana esto sendo usados para rotinas de segurana?
7 Voc verificou se as rotinas de segurana no tentam ler ou gravar nos tags padro?
8 Voc verificou se nenhum tag de segurana chamado como tag padro e vice-versa?
9 Todos os tags de sada de segurana esto configurados corretamente e conectados a um canal de sada fsico?
10 Voc verificou se todos os tags mapeados foram condicionados na lgica de aplicao de segurana?
11 Voc definiu os parmetros do processo que so monitorados pelas rotinas de falha?
12 Todas as instrues add-on de segurana esto travadas com uma assinatura de instruo e a assinatura de
instruo de segurana est registrada?
13 O programa foi revisado por um editor de segurana independente (se necessrio)?
14 A reviso foi documentada e assinada?

Observaes:

Apndice E
Dados de segurana de sistemas GuardLogix
Tpico Pgina
Valores PFD 93
Valores PFH 94
Os exemplos a seguir mostram os valores de probabilidade de falha sob solicitao

(PFD) e a probabilidade de falha por hora (PFH) para sistemas GuardLogix 1oo2
SIL 3 que usam os mdulos Guard I/O.
O tempo de misso para controladores GuardLogix e dispositivos Guard I/O de

20 anos.
Valores PFD Tabela 14 PFD calculado por intervalo de teste de prova

PFD calculado
Cd. cat. Descrio 2 anos 5 anos 10 anos 20 anos
(17.520 horas) (43.800 horas) (87.600 horas) (175.200 horas)
1756-L7xS e 1756-L7SP Controlador GuardLogix 5.7E-06 1.5E-05 3.5E-05 8.9E-05
1756-L73SXT e 1756-L7SPXT Controlador GuardLogix XT 5.7E-06 1.5E-05 3.5E-05 8.9E-05
1791DS-IB12 Mdulo de entrada de 12 pontos CIP Safety 4.73E-07 1.18E-06 2.35E-06 4.71E-06(2)
1791DS-IB16 Mdulo de entrada de 16 pontos CIP Safety 4.11E-06 1.03E-05 2.06E-05 4.11E-05
1791DS-IB8XOB8 Mdulo de entrada com 8 pontos/sada com 8 pontos 4.73E-07 1.18E-06 2.35E-06 4.71E-06(2)
CIP Safety
1791DS-IB4XOW4 Mdulo de entrada com 4 pontos/sada a rel com 2.21E-05 7.05E-05 1.92E-04 5.88E-04(2)
4 pontos CIP Safety
1791DS-IB8XOBV4 Mdulo de entrada com 8 pontos/sada com 4 bipolares 4.16E-06 1.04E-05 2.08E-05 4.16E-05
CIP Safety
1732DS-IB8XOBV4
1732DS-IB8 Mdulo de entrada de 8 pontos CIP Safety 4.11E-06 1.03E-05 2.06E-05 4.11E-05
1791ES-IB16 Mdulo de entrada de 16 pontos CIP Safety 4.13E-06 1.03E-05 2.06E-05
1791ES-IB8XOBV4 Mdulo de entrada com 8 pontos/sada com 4 bipolares 4.17E-06 1.04E-05 2.09E-05
CIP Safety
1734-IB8S, srie A Mdulo de entrada de 8 pontos CIP Safety 4.23E-06 1.06E-05 2.11E-05 4.23-05
1734-IB8S, srie B(1) Mdulo de entrada de 8 pontos CIP Safety 4.36E-06 1.09E-05 2.18E-05 4.36E-05
1734-OB8S, srie A Mdulo de entrada de 8 pontos CIP Safety 4.27E-06 1.07E-05 2.13E-05 4.27E-05
1734-OB8S, srie B Mdulo de entrada de 8 pontos CIP Safety 4.32E-06 1.08E-05 2.16E-05 4.32E-05
1734-IE4S Mdulo de entrada analgica de 4 pontos CIP Safety, 4.7E-07 1.2E-06 2.4E-06 4.8E-06
operao de canal simples
1734-IE4S Mdulo de entrada analgica de 4 pontos CIP Safety, 3.2E-07 8.1E-07 1.6E-06 3.3E-06
operao de canal duplo
(1) Esses dados servem para operao de canal simples e duplo.

(2) Os dados PFD de 20 anos para este produto so aplicados apenas aos produtos com data de fabricao cdigo
2009/01/01 (1 de janeiro de 2009) ou posterior. Consulte a etiqueta do produto para a data do cdigo.

Apndice E Dados de segurana de sistemas GuardLogix
Valores PFH Os dados abaixo aplicam-se prova de intervalos de teste superiores a 20 anos
inclusive.
Tabela 15 Clculo do PFH
Cd. cat. Descrio PFH (1/hora)
1756-L7xS e 1756-L7SP Controlador GuardLogix 1.2E-09
1756-L7xSXT e 1756-L7SPXT Controlador GuardLogix-XT 1.2E-09
1791DS-IB12 Mdulo de entrada de 12 pontos CIP Safety 5.77E-11(1)
1791DS-IB16 Mdulo de entrada de 16 pontos CIP Safety 4.96E-10
1791DS-IB8XOB8 Mdulo de entrada com 8 pontos/sada com 8 pontos CIP Safety 5.77E-11(1)
1791DS-IB4XOW4 Mdulo de entrada com 4 pontos/sada a rel com 4 pontos CIP Safety 9.03E-09(1)
1791DS-IB8XOBV4 Mdulo de entrada com 8 pontos/sada com 4 bipolares CIP Safety 5.02E-10
1732DS-IB8XOBV4
1732DS-IB8 Mdulo de entrada de 8 pontos CIP Safety 4.96E-10
1791ES-IB16 Mdulo de entrada de 16 pontos CIP Safety 4.98E-10
1791ES-IB8XOBV4 Mdulo de entrada com 8 pontos/sada com 4 bipolares CIP Safety 5.04E-10
1734-IB8S, srie A Mdulo de entrada de 8 pontos CIP Safety 5.10E-10
1734-IB8S, srie B Mdulo de entrada de 8 pontos CIP Safety 5.27E-10
1734-OB8S, srie A Mdulo de entrada de 8 pontos CIP Safety 5.14E-10
1734-OB8S, srie B Mdulo de entrada de 8 pontos CIP Safety 5.20E-10
1734-IE4S Mdulo de entrada analgica de 4 pontos CIP Safety, operao do canal simples 5.6E-11
Mdulo de entrada analgica de 4 pontos CIP Safety, operao do canal duplo 3.9E-11
(1) Os dados PFD de anos para este produto so aplicados apenas aos produtos com data de fabricao cdigo 2009/01/01 (1 de janeiro de 2009) ou posterior. Consulte a etiqueta do produto para a data
do cdigo.

Apndice F
Software RSLogix 5000, Verso 14 e posterior,

Instrues da aplicao de segurana
Tpico Pgina
Sistema desenergizar para desarmar 95
Uso de dados de status de conexo para iniciar uma falha programaticamente 95
Sistema desenergizar para Quando usar instrues do software RSLogix 5000, verso 14, instrues de
aplicao de segurana, todas as entradas e sadas so configuradas para zero
desarmar quando uma falha detectada. Como resultado, qualquer entrada que seja
monitorada por uma das diferentes instrues de entrada (entradas diferentes
ou estao de operao bimanual) deve ter entrada normalmente fechada
condicionada por uma lgica similar lgica na linha 4 da Exemplo 2 da lgica
ladder e Exemplo 3 da lgica ladder nas pginas 98 e 99. A lgica exata necessria
depende tanto das aplicaes quanto do dispositivo de entrada. Porm, a lgica
deve criar um estado seguro de 1 para a entrada normalmente fechada das diversas
instrues de entrada.
Uso de dados de status de Os diagramas a seguir fornecem exemplos da lgica da aplicao necessria para
travar e reinicializar as falhas da E/S. Os exemplos mostram a lgica necessria
conexo para iniciar uma para os mdulos de entrada apenas e para mdulos combinados de entrada
falha programaticamente e sada. Os exemplos usam o recurso chamado status combinado dos mdulos
de E/S que apresenta o status de todos os canais de entrada em uma varivel
booleana. Uma outra varivel booleana representa o status de todos os canais de
sada. Esta abordagem reduz a quantidade de lgica de condicionamento de
E/S necessria e fora o encerramento de todos os canais de entrada ou sada do
mdulo afetado.
Use o Travamento da falha de entrada e fluxograma de reset na pgina 96 para

determinar quais linhas de lgica so necessrias para as situaes de diferentes
aplicaes. O Exemplo 1 da lgica ladder mostra a lgica que substitui as variveis
de tag de entrada real enquanto existir uma condio de falha. Se um estado
de entrada real necessrio para soluo de problemas enquanto uma falha de
entrada travada, use a lgica mostrada em Exemplo 2 da lgica ladder. Esta
lgica usa tags internos que representam as entradas que sero usadas nesta
lgica da aplicao. Enquanto a falha de entrada estiver travada, os tags internos
so definidos para o estado de segurana. Enquanto a falha da entrada no for
travada, os valores reais de entrada so copiados para os tags internos.
Use o Travamento da falha de sada e fluxograma de reset para determinar quais

linhas da lgica da aplicao no Exemplo 3 da lgica ladder na pgina 99 so
necessrias.

Apndice F Software RSLogix 5000, Verso 14 e posterior, Instrues da aplicao de segurana
Figura 22 Travamento da falha de entrada e fluxograma de reset

Partida
Esta funo de segurana precisa da No

interveno do operador depois de uma falha
de entrada de segurana?
Sim
No As entradas so usadas para

acionar as instrues da aplicao
de segurana?
Sim
Certifique-se de selecionar
O circuito de reset pode ser usado Sim Manual Reset para
para interveno do operador? a instruo da aplicao
de segurana.
No
Escreva a lgica para travar a falha As informaes de falha de entrada

da entrada. (linha 0 do exemplo) Sim necessrias para fins de diagnsticos?
Escreva a lgica para configurar as No

entradas para o estado de segurana.
(linhas 2 e 3 do exemplo)
Escreva a lgica para travar a falha
da entrada. (linha 0 do exemplo)
Escreva a lgica para eliminar
o travamento da falha da entrada.
(linha 1 do exemplo)
No Todas as entradas so usadas em

uma instruo com diversas entradas?
(DIN ou THRS)
Sim
Escreva a lgica para definir o valor do estado
seguro quando a entrada apresentar uma falha.
Concludo

Software RSLogix 5000, Verso 14 e posterior, Instrues da aplicao de segurana Apndice F
Figura 23 Exemplo 1 da lgica ladder

O n 30 um mdulo combinado com 8 pontos de entrada/8 pontos de sada.
O n 31 um mdulo de entrada com 12 pontos.
Se o status da entrada no estiver OK, retenha as indicaes das entradas com falhas.
Node30:I.InputStatus Node30InputsFaulted
0 / L
Node31:I.CombinedStatus Node31InputsFaulted
/ L
Se a borda de subida do sinal de reset da falha for detectada e o status de entrada estiver OK, no retenha a indicao das entradas com falha.
FaultReset InputFaultResetOneShot Node30:I.InputStatus Node30InputsFaulted

1 ONS U
U
Se as entradas estiverem com falha, substitua os tags de entrada com os valores do estado de segurana.
Node30InputsFaulted Node30:I.Pt00Data
2 U
Node30:I.Pt01Data
U
Node30:I.Pt07Data
U
Se as entradas estiverem com falha, substitua os tags de entrada com os valores do estado de segurana.
3 U
Node31:I.Pt01Data
U
Node31:I.Pt11Data
U
Se a indicao das entradas com falha for verdadeira, defina os valores da entrada Diverse para o estado de segurana (1).
4 L
Node30:I.Pt03Data
L


O n 31 um mdulo de entrada com 12 pontos.
Se o status da entrada no estiver OK, retenha as indicaes das entradas com falhas.
Node30:I.InputStatus Node30InputsFaulted
0 / L
/ L
FaultReset InputFaultResetOneShot Node30:I.InputStatus Node30InputsFaulted

1 ONS U
U
Se as entradas no estiverem com falha, escreva os valores do tag de entrada para as representaes internas das entradas.
Node30InputsFaulted Node30:I.Pt00Data Node30Input00
2 /
Node30:I.Pt01Data Node30Input01
Se as entradas no estiverem com falha, escreva os valores do tag de entrada para as representaes internas das entradas.
Node31InputsFaulted Node31:I.Pt00Data Node31Input00
3 /
Se a indicao das entradas com falha for verdadeira, defina as representaes internas das entradas Diverse para o estado de segurana (1).
Node30InputsFaulted Node31Input01
4 L
Node31Input03
L

Software RSLogix 5000, Verso 14 e posterior, Instrues da aplicao de segurana Apndice F
Figura 25 Travamento da falha de sada e fluxograma de reset

Partida
Esta funo de segurana precisa da No

interveno do operador depois de uma
falha de sada de segurana?
Sim
Escreva a lgica para travar a falha Sim As informaes de falha de sada

da sada. (linha 0 do exemplo) necessrias para fins de diagnsticos?
Escreva a lgica para configurar as sadas No

para um estado de segurana.
Escreva a lgica para travar a falha
da sada. (linha 0 do exemplo)
Escreva a lgica para no travar a falha

da sada (linha 1 do exemplo)
Concludo

Se o status da sada no estiver OK, retenha as indicaes das sadas com falhas.
Node30:I.OutputStatus Node30OutputsFaulted
0 / L
FaultReset InputFaultResetOneShot Node30:I.OutputStatus Node30OutputsFaulted
1 ONS U
Node30OutputsFaulted RedundantOutputTag.O1 Node30:O.Pt00Data

2 /
RedundantOutputTag.O2 Node30:O.Pt01Data

Observaes:

Apndice G
Usando mdulos 1794 FLEX I/O e entradas

e sadas de 1756 SIL 2 com controladores
1756 GuardLogix para cumprir com EN 50156
Tpico Pgina
Entradas de canal duplo SIL 2 (lado padro de controladores GuardLogix) 101
Sadas SIL 2 usando mdulos de sada SIL 3 Guard I/O 103
Sadas SIL 2 usando mdulos de sada 1756 ou 1794 SIL 2 103
Funes de segurana na tarefa de segurana do 1756 GuardLogix 104
A configurao de canal duplo necessria para a conformidade em determinadas

aplicaes relacionadas segurana, incluindo as funes de segurana
relacionadas ao queimador. Estes exemplos fornecem orientaes para satisfazer
as especificaes de canal duplo EN50156 SIL 2 com intervalos de teste de prova
de 1 e 2 anos.
Entradas de canal duplo Voc deve implementar uma separao limpa e facilmente identificvel
entre os canais de entrada e respeitar todas as especificaes SIL 2 existentes
SIL 2 (lado padro de conforme definidas em Using ControlLogix in SIL 2 Applications,
controladores GuardLogix) publicao 1756-RM001.
Figura 27 Exemplo de entradas de canal duplo SIL 2 F

Canal A Canal B
Ch0+ Ch0+ +
Transmissor
de tenso A
Ch0+ Ch0+ -
+
Transmissor
de tenso B
-

Apndice G Usando mdulos 1794 FLEX I/O e entradas e sadas de 1756 SIL 2 com controladores 1756 GuardLogix para cumprir com EN 50156
Dados de entrada SIL 2
Mantenha sempre os dados de entrada do

canal A e do canal B separados. Este exemplo
ilustra um mtodo para separar os dados do
canal A e do canal B em sua aplicao.
Siga todas a regras para os mdulos de

E/S 1756 e 1794 FLEX conforme
definido no Using ControlLogix in SIL 2
Applications Safety Reference Manual,
IMPORTANTE No execute funes especficas de segurana dentro nessas rotinas.
A avaliao de segurana deve ser manuseada dentro das tarefas de
segurana do 1756 GuardLogix.
Transferncia de dados SIL 2 para uma tarefa de segurana
Para transferir dados de segurana do canal A e do canal B para a tarefa de

segurana GuardLogix, use a funcionalidade de mapeamento do tag de segurana
na aplicao Logix Designer. Os nomes dos tags usados aqui so apenas para
exemplos. Implemente e siga as nomenclaturas apropriadas para sua aplicao.
DICA Para usar a funo de mapeamento de um tag de segurana, selecione

Map Safety Tags no menu Logic na aplicao Logix Designer.

Usando mdulos 1794 FLEX I/O e entradas e sadas de 1756 SIL 2 com controladores 1756 GuardLogix para cumprir com EN 50156 Apndice G
Sadas SIL 2 usando mdulos Siga essas orientaes para as sadas SIL 2:
de sada SIL 3 Guard I/O Os mdulos de sada Guard I/O usados nas sadas de segurana SIL 2
devem ser configurados para operao de canal duplo.
Todos os mdulos de sada Guard I/O so aprovados para uso em
aplicaes SIL 2.
1732DS-IB8XOBV4
1791ES-IB8XOBV4
1791DS-IB8XOBV4, 1791ES-IB8XOBV4
1791DS-IB4XOW4
1791DS-IB8XOB8
1734-OB8S
Sadas SIL 2 usando mdulos Quando usar estes mdulos de sada com classificao SIL 2, necessrio que
voc configure suas sadas de segurana SIL 2 como tags de segurana produzidas
de sada 1756 ou 1794 SIL 2 por GuardLogix para cumprir as especificaes de canal duplo de EN 50156.
Crie tags de segurana produzidos com as sadas SIL 2 que a sua aplicao exige.
Os tags de segurana produzidos/consumidos GuardLogix necessitam que
o primeiro membro seja atribudo para os diagnsticos. O primeiro membro
de uma conexo de segurana produzida/consumida deve ser um tipo de dados
chamado de CONNECTION_STATUS. Este exemplo mostra um tag SIL 2
com dois membros INT e dois BOOL. Use estes tags de segurana SIL 2 para
controlar as sadas 1756 ou 1794 SIL 2.
DICA Neste exemplo, no mostrado um consumidor para o tag produzido.

O status de conexo mostra uma falha se voc no configurar um consumidor.
Entretanto, neste tipo de configurao, no necessrio monitorar o status
de conexo do tag produzido, ento a falha no um problema.
Siga todas a regras para os mdulos de E/S 1756 e 1794 FLEX conforme
definido no Using ControlLogix in SIL 2 Applications Safety Reference Manual,

Apndice G Usando mdulos 1794 FLEX I/O e entradas e sadas de 1756 SIL 2 com controladores 1756 GuardLogix para cumprir com EN 50156
Funes de segurana Siga essas orientaes de uso das funes de segurana SIL 2 e SIL 3 nas tarefas de
segurana:
na tarefa de segurana
do 1756 GuardLogix Todas as instrues da aplicao de segurana disponveis podem ser
usadas.
Os mdulos de entrada de segurana CL3 (ou seja, mdulos Guard I/O)
podem ser usados com a configurao de canal simples para as funes de
segurana SIL 2.
recomendado o uso da assinatura da tarefa de segurana e do travamento
de segurana da aplicao.
IMPORTANTE No use dados SIL 2 para controlar diretamente uma sada SIL 3.

Glossrio
Os seguintes termos e abreviaes so usados neste manual. Para definies de

termos que no esto listados aqui, consulte o Glossrio de Automao Industrial
Allen-Bradley, publicao AG-7.1.
Assinatura da configurao Um nmero exclusivo que identifica a configurao de um dispositivo.

A assinatura de configurao composta de um nmero ID, data e hora.
Assinatura da tarefa de segurana Um valor, calculado pelo firmware, que representa exclusivamente a lgica
e a configurao do sistema de segurana. Ele usado para verificar a integridade
do programa de aplicao de segurana durante descarregamentos para
o controlador.
Assinatura de instruo A assinatura de instruo consiste em um nmero ID e um registro de data e hora

que identificam o contedo da instruo add-On em um momento determinado.
Assinatura de instruo de segurana A assinatura da instruo de segurana um nmero de ID que identifica as

caractersticas de execuo da instruo add-on de segurana. Ele usado para
verificar a integridade da instruo add-on de segurana durante descarregamen-
tos para o controlador.
Associao O Controlador Primrio e o Parceiro de Segurana devem estar presentes

e o hardware e o firmware devem ser compatveis para que a associao seja
estabelecida.
Cancelar edies Ao tomada para rejeitar qualquer mudana na edio on-line desmontada.
Componente de segurana Qualquer objeto, tarefa, programa, rotina, tag ou mdulo etc., marcado como
um item de segurana.
Componente padro Qualquer objeto, tarefa, tag, programa etc., no marcado como um item
relacionado segurana.
Conexo vlida A conexo de segurana est aberta e ativa, sem erros.
Controlador padro Conforme usado neste documento, um controlador padro refere-se

genericamente a um controlador ControlLogix.
Controlador primrio O processador em um controlador de dois processadores que executa a

funcionalidade do controlador padro e se comunica com o Parceiro de
Segurana para executar funes relacionadas segurana.
E/S de segurana A E/S de Segurana tem a maioria dos atributos da E/S Padro, exceto que ela
apresenta mecanismos certificados para SIL 3 para garantir a integridade de
dados.
Edio pendente Uma alterao em uma rotina que foi feita na aplicao Logix Designer, mas que
ainda no foi comunicada para o controlador atravs da aceitao da edio.

Glossrio
Edies de montagem Voc monta edies quando fizer alteraes de edio on-line no programa do
controlador e deseja que as alteraes se tornem permanentes para que voc possa
testar, cancelar o teste ou cancelar as edies.
Endereamento simblico Um mtodo de endereamento que fornece uma interpretao ASCII do nome
do tag.
Falha de segurana no recupervel Uma falha, que apesar de ser manipulada de forma correta pelos mecanismos
de manipulao de falhas fornecidos pelo controlador de segurana
e implementados pelo usurio, termina todo o processamento da tarefa
de segurana e requer uma ao externa do usurio para reinici-la.
Falha no recupervel do controlador Uma falha que fora o trmino de qualquer processamento e requer que
a alimentao do controle seja alternada de desligada para ligada. O programa
do usurio no preservado e deve ser descarregado novamente.
Falha recupervel Uma falha, que quando manipulada corretamente pela implementao de
mecanismos de manipulao de falhas fornecidos pelo controlador, no fora
o trmino da execuo lgica.
Instruo add-on Uma instruo que foi criada como uma add-on no conjunto de instrues Logix.
Uma vez definida, uma instruo add-on pode ser usada como qualquer outra
instruo Logix e pode ser usada em vrios projetos. Uma instruo add-on
composta de parmetros, tags locais, rotina de lgica e rotinas de modo de
varredura opcionais.
Instruo add-on de segurana Uma instruo add-on pode usar instrues de aplicao de segurana. As
instrues add-on de segurana usam a assinatura de instruo de alta integridade
de instrues add-on e tambm uma assinatura de instruo de segurana SIL 3
para uso em funes relacionadas segurana.
Instrues de aplicao de segurana Instrues de segurana que fornecem funcionalidade relacionada segurana.
Elas foram certificadas para SIL 3 para uso em rotinas de segurana.
Intervalo do pacote requisitado Quando est se comunicando por uma rede, esse valor o tempo mximo entre
(RPI) a produo subseqente de dados de entrada.
Multiplicador de tempo-limite Este valor determina o nmero de mensagens que podem ser perdidas antes de
declarar de um erro de conexo.
Nmero de rede de segurana (SNN) Identifica exclusivamente uma rede entre todas as redes no sistema de segurana.
O usurio final responsvel por atribuir um nmero exclusivo para cada rede de
segurana ou sub-rede de segurana dentro de um sistema. O nmero da rede de
segurana constitui parte do identificador de n exclusivo (UNID).
On-line Uma situao em que voc est monitorando/modificando o programa no

controlador GuardLogix.

Glossrio
Parceiro de segurana O processador em um controlador de dois processadores que trabalha com

o Controlador Primrio para executar funes relacionadas segurana.
Perodo da tarefa de segurana O perodo no qual a Tarefa de Segurana executada.
Programa de segurana Um programa de segurana tem todos os atributos de um programa comum,

exceto pelo fato de que ele pode ser programado apenas em uma tarefa de
segurana. O programa de segurana consistem em zero ou mais rotinas de
segurana. Ele no pode conter rotinas ou tags padro.
Protocolo CIP Safety Um mtodo de comunicao de rede projetado e certificado para o transporte de
dados com alta integridade.
Rotina Um conjunto de instrues lgicas em uma linguagem de programao, como um

diagrama de lgica ladder. As rotinas fornecem cdigo executvel para o projeto
em um controlador. Cada programa tem uma rotina principal. Voc tambm
pode especificar rotinas opcionais especficas.
Rotina de segurana Uma rotina de segurana tem todos os atributos de uma rotina-padro, exceto
que vlida apenas em um programa de segurana e que consiste de uma ou mais
instrues adequadas para aplicaes de segurana. (Consulte Apndice A para
uma lista de instrues de aplicao de segurana e instrues Logix padro que
podem ser usadas em lgica de rotina de segurana.)
Sobreposio Quando uma tarefa (peridica ou evento) acionada enquanto a tarefa ainda est
sendo executada pelo acionador anterior.
Tags de segurana Um tag de segurana tem todos os atributos de um tag-padro, mas o controlador
GuardLogix fornece mecanismos certificados para SIL 3 para ajudar a proteger
a integridade dos dados associados. Eles podem ter escopo de programa ou de
controlador.
Tarefa Um mecanismo de programao para a execuo de uma tarefa. Uma tarefa

fornece informao de programao e de prioridade para um conjunto de um
ou mais programas que so executados com base em critrios determinados.
Depois que uma tarefa acionada (ativada), todos os programas atribudos
(programados) para a tarefa so executados na ordem em que so exibidos no
organizador do controlador.
Tarefa de segurana Uma Tarefa de Segurana tem todos os atributos de uma tarefa padro, mas ela
vlida somente em um controlador GuardLogix e pode ser programada apenas
em programas de segurana. Apenas a Tarefa de Segurana pode existir no
controlador GuardLogix. A Tarefa de Segurana deve ser uma tarefa peridica/
temporizada.
Tarefa peridica Uma tarefa que acionada pelo sistema operacional em um intervalo repetido.
Sempre que o tempo expira, a tarefa acionada e seus programas so executados.
Os dados e as sadas estabelecidos pelos programas na tarefa retm os valores at
a prxima execuo da tarefa ou at elas serem manipuladas por outra tarefa.
As tarefas peridicas sempre interrompem a tarefa contnua.

Glossrio
Tempo de reao da tarefa A soma do Perodo da Tarefa de Segurana mais o Watchdog da Tarefa de
de segurana Segurana. Esse tempo o atraso de pior caso de qualquer alterao na entrada
apresentada pelo controlador GuardLogix at que a sada processada esteja
disponvel para a conexo de produo.
Tempo de reao do sistema O pior cenrio de tempo de um evento relacionado segurana como uma
entrada no sistema ou como uma falha dentro do sistema at a hora em que
o sistema entra no estado seguro. O tempo de reao do sistema inclui tempos
de reao do sensor e do ativado, alm do tempo de reao do controlador.
Watchdog da tarefa de segurana O tempo mximo permitido desde o incio da execuo da Tarefa de Segurana
at a sua concluso. Se o Watchdog da Tarefa de Segurana for ultrapassado,
uma falha no recupervel de segurana ser gerada.

ndice
Nmeros certificaes 18
certificaes da agncia 18
1734-AENT 17, 23
certificaes e compatibilidades de
1756-A10 17
segurana 18
1756-A13 17
cobertura de diagnstico
1756-A17 17
definio 10
1756-A4 17 comissionamento do ciclo de vida 51
1756-A5XT 17 componentes do Logix
1756-A7 17 certificado para SIL 3 16
1756-A7XT 17 componentes XT 17
1756-CN2 17, 23 comunicaes peer to peer 23
1756-CN2R 17, 23 conceito de segurana
1756-CN2RXT 17, 23 suposies 49
1756-DNB 17, 23 configurao da instruo de varivel do
1756-EN2F 17, 23 sistema (SSV) 65
1756-EN2T 17, 23 CONNECTION_STATUS
1756-EN2TR 23 tipo de dados 63
1756-EN2TXT 17, 23 controlador primrio
1756-EN3TR 23 caractersticas gerais do hardware 22
1756-ENBT 17, 23 definio 105
1756-PB72 17
1756-PB75 17 E
1768-CNB 23
edio on-line 57, 60
1768-CNBR 23
edies off-line 60
1768-ENBT 23
edies pendentes 57
1784-CF64 17
EN50156 101
1784-SD1 17
EN954-1
1784-SD2 17
CAT 4 9, 13
EtherNet/IP
A caractersticas gerais de comunicao 23
alterando o programa aplicativo 59
ambiente Studio 5000 17 F
assinatura da configurao 29 falhas
assinatura da tarefa de segurana cancelando 66
definio 105 falhas de segurana irrecuperveis 66
excluindo 54 falhas no recuperveis do controlador 66
gerando 53 recupervel 67, 106
operaes restritas 54 falhas de hardware
assinatura de instruo 75 recuperao 66
definio 105 falhas de segurana irrecuperveis 66, 106
assinatura de instruo de segurana 76 reincio da tarefa de segurana 66
definio 105 falhas no recuperveis do controlador 66, 106
associao falhas recuperveis 67, 106
definio 105 fontes de alimentao 17
caractersticas gerais do hardware 22
force 58
C funo de controle
carga de confiabilidade 19 especificao 52
carto de memria 17 funes de segurana
carto Secure Digital (SD) 17 E/S CIP Safety 27
certificao de nvel 3 de integridade de sada de segurana 28
segurana (SIL 3) 9, 13, 76 funes de segurana relacionadas ao
certificao de nvel de integridade de queimador 101
segurana (SIL) 3
componentes do Logix 16
responsabilidades do usurio 14
TV Rheinland 14

ndice
G N
GSV (Get System Value) nvel de desempenho
definio 10 definio 10
nvel de integridade de segurana (SIL)
conformidade de distribuio e peso 19
H exemplo de funo 16
histrico de assinatura 77 poltica 1320
noes bsicas do desenvolvimento de
aplicaes 50
I norma europeia.
IEC 61508 definio 10
certificao de nvel 3 de integridade de nmero da rede de segurana 34
segurana (SIL 3) 9, 13, 76 atribuio manual 34
inibindo um mdulo 58 definio 106
instalando um controlador 21 mdulos padro 36
tags consumidos de segurana 35
instruo add-on
assinatura de instruo 75
assinatura de instruo de segurana 76 O
certificar 73
instrues de aplicao de segurana on-line
definio 106 definio 106
instrues de segurana da lgica ladder 70
instrues GSV 65 P
interface
uso de IHM e aplicao 4345
interfaces homem-mquina caractersticas gerais do hardware 22
definio 107
uso e aplicao 4345 local 22
intervalo do pacote requisitado perodo da tarefa de segurana 20
definio 106 caractersticas gerais 20
faixa 42 definio 107
ISO 13849-1 9, 13 limitaes 41
PFH (probabilidade de falha por hora)
definio 10
L PLe 9, 13
lista de verificao probabilidade de falha por hora (PFH) 1819
desenvolvimento de programa 91 probabilidade de falha sob solicitao
entradas de SIL 3 89 (PFD) 1819
sadas de SIL 3 90
sistema do controlador GuardLogix 25, 88 definio 10
programa
edio off-line 60
M edio on-line 60
editando o ciclo de vida 61
mapeamento de tags 47 fazer download 57
mdulo de interface de comunicao identificao 53
EtherNet/IP lista de verificao 91
caractersticas gerais do hardware 23 upload 57
mdulo de interface de scanner DeviceNet verificao 54
caractersticas gerais do hardware 23 programa aplicativo
mdulo ponte ControlNet alterando 59
caractersticas gerais do hardware 23 consulte programa
mdulos de comunicao programa de segurana 45
caractersticas gerais do hardware 23 definio 107
cdigos de catlogo 17 projeto
mdulos de E/S confirmao 55
substituio 2931 propriedade 29
mdulos Guard I/O protocolo CIP Safety
aplicaes SIL 2 103 caractersticas gerais 22
multiplicador de tempo-limite 82 definio 107
definio 106 sistema rotevel 33
protocolo de controle e informao
definio 10

ndice
Q tags de segurana 46
definio 107
qualificando dados padro 47 tipos de dados vlidos 46
tarefa de segurana
R caractersticas gerais 41
definio 107
rack execuo 42
caractersticas gerais do hardware 22 prioridade 84
cdigos de catlogo 17 tempo de reao 20, 108
referncia de n exclusivo tempo de watchdog 84
definida 34 tarefa peridica
revises de firmware 17 definio 107
rotina de segurana 45 tempo de atraso de sada 28
definio 107 tempo de reao
calculando para o sistema 79
sistema 19, 108
S tarefa de segurana 20
tempo de reao do sistema 19
segurana do DeviceNet
calculando 79
caractersticas gerais de comunicao 24 tempo de reao do sistema Logix
SIL 2
calculando 80
EN50156 101 tempo de watchdog 84
sobreposio
terminologia 10
definio 107
software teste de verificao do projeto 54, 78
alterando o programa aplicativo 59 testes de prova 14
software RSLogix 5000 17 travamento de segurana 56
status da conexo 64 operaes restritas 56
padro 56
senhas 56
T
tags W
consulte tambm tags de segurana
dados de segurana produzidos/ watchdog da tarefa de segurana 20
consumidos 46 ajuste de parmetro 20
E/S de segurana 46 caractersticas gerais 20
tags consumidos de segurana definio 108
nmero da rede de segurana 35 modificando 20
tempo-limite 41

ndice

Suporte da Rockwell Automation
A Rockwell Automation fornece informaes tcnicas na web para ajud-lo a usar seus produtos.
Em http://www.rockwellautomation.com/support, voc pode encontrar notas tcnicas e de aplicao,
cdigo de exemplo e links para os service packs de software. Voc pode tambm visitar nosso Centro de Suporte
em https://rockwellautomation.custhelp.com/ para atualizaes de software, bate-papos de suporte e fruns,
informaes tcnicas, FAQs e assinar notificaes sobre atualizaes de produtos.
Alm disso, oferecemos diversos programas de suporte para instalao, configurao e localizao de falhas.
Para obter mais informaes, contate o distribuidor ou representante local da Rockwell Automation ou visite
http://www.rockwellautomation.com/services/online-phone.
Assistncia para Instalao
Se voc tiver um problema dentro das primeiras 24 horas aps a instalao, revise a informao que est contida neste
manual. Entre em contato com o Suporte ao Cliente para obter ajuda para que seu produto funcione.
Estados Unidos ou Canad 1.440.646.3434
Fora dos Estados Unidos ou Canad Use o Worldwide Locator em http://www.rockwellautomation.com/rockwellautomation/support/overview.page ou entre em contato
com seu representante da Rockwell Automation.
Retorno de satisfao de novo produto
A Rockwell testa todos os seus produtos para ajudar a garantir que eles esto totalmente operacionais quando saem da
fbrica. Entretanto, caso seu produto no esteja funcionando e necessite ser devolvido, siga os seguintes procedimentos.
Estados Unidos Contate o distribuidor. Voc deve fornecer um nmero de caso do suporte ao cliente (consulte o telefone acima para obt-lo)
para que o distribuidor complete o processo de devoluo.
Fora dos Estados Unidos Contate o representante local da Rockwell Automation para obter o procedimento de devoluo.
Comentrios sobre a documentao

Seus comentrios iro ajudar a melhorar a documentao. Se tiver sugestes sobre como melhorar este documento,
complete o seguinte formulrio, publicao RA-DU002, disponvel em http://www.rockwellautomation.com/literature/.
A Rockwell Automation mantm as informaes ambientais do produto atual em seu website:

http://www.rockwellautomation.com/rockwellautomation/about-us/sustainability-ethics/product-environmental-compliance.page.
Publicao 1756-RM099B-PT-P Novembro 2014 Copyright 2014 Rockwell Automation, Inc. Todos os direitos reservados. Impresso nos EUA.

Manual de Referência de Segurança

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Manual de Referência de Segurança

Caricato da

Copyright:

Formati disponibili

Manual de referncia de segurana

Sistemas de Controladores GuardLogix 5570

Traduo das instrues originais

IMPORTANTE Identifica informaes crticas para a aplicao bem-sucedida e entendimento do produto.

Esse manual contm informaes novas e atualizadas.

Informaes novas Essa tabela contm as alteraes feitas nessa reviso.

Publicao Rockwell Automation 1756-RM099B-PT-P Novembro 2014 3

4 Publicao Rockwell Automation 1756-RM099B-PT-P Novembro 2014

Publicao Rockwell Automation 1756-RM099B-PT-P Novembro 2014 5

6 Publicao Rockwell Automation 1756-RM099B-PT-P Novembro 2014

Editando sua aplicao de segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

Publicao Rockwell Automation 1756-RM099B-PT-P Novembro 2014 7

8 Publicao Rockwell Automation 1756-RM099B-PT-P Novembro 2014

Este manual destina-se a descrever o sistema de controladores GuardLogix 5570,

Use este manual se for responsvel pelo desenvolvimento, operao ou

Para especificaes de segurana relacionadas a controladores GuardLogix 5570

O ambiente Studio 5000 a base para o futuro das ferramentas de projetos de

Publicao Rockwell Automation 1756-RM099B-PT-P Novembro 2014 9

Terminologia A tabela a seguir define os termos usados neste manual.

Tabela 1 Termos e definies

10 Publicao Rockwell Automation 1756-RM099B-PT-P Novembro 2014

possvel consultar ou fazer o download de publicaes em

Publicao Rockwell Automation 1756-RM099B-PT-P Novembro 2014 11

12 Publicao Rockwell Automation 1756-RM099B-PT-P Novembro 2014

Conceito de nvel de integridade de segurana

Certificao SIL 3 Os sistemas controladores GuardLogix 5570 so do tipo aprovado e certificado

IMPORTANTE Quando o controlador GuardLogix estiver em modo de execuo ou de

E ainda, as tarefas-padro dos controladores GuardLogix podem ser usadas tanto

Publicao Rockwell Automation 1756-RM099B-PT-P Novembro 2014 13

O TV Rheinland aprovou os sistemas do controlador GuardLogix 5570

IMPORTANTE Como usurio do sistema, voc responsvel pelo seguinte:

Ao aplicar a Segurana Funcional, restrinja o acesso ao pessoal autorizado,

Para informaes sobre como usar a funo de trava de segurana, consulte

Os controladores GuardLogix 5570 tm um intervalo de teste de prova de at

IMPORTANTE Suas aplicaes especficas determinam o intervalo do teste de prova.

14 Publicao Rockwell Automation 1756-RM099B-PT-P Novembro 2014

Figura 1 Funo SIL tpica

Funo de segurana geral

Sistema GuardLogix SIL 3

Rede DeviceNet Safety

Mdulo de E/S CIP Safety

Sistema GuardLogix SIL 3 compacto

Publicao Rockwell Automation 1756-RM099B-PT-P Novembro 2014 15

1756-L61S Controlador com 2 MB padro, 1 MB de memria de

16 Publicao Rockwell Automation 1756-RM099B-PT-P Novembro 2014

Voc pode preencher os slots de um rack de sistema SIL 3 que no so usados

IMPORTANTE Os componentes do sistema ControlLogix-XT so classificados para condies

Para encontrar certificados para a Famlia de produtos programveis

Publicao Rockwell Automation 1756-RM099B-PT-P Novembro 2014 17

Certificaes GuardLogix Os dados tcnicos dos controladores ControlLogix, publicao 1756-TD001,

O valor do Safety Integrity Level (SIL) de um sistema de segurana de poucas

Os valores de PFD e PFH esto associados a cada um dos trs principais

Para valores PFD e PFH e intervalos de teste de prova para os mdulos

Figura 2 Exemplo de PFH

Sensor Controlador GuardLogix

Logix5562S Logix55LSP DeviceNet EtherNet 1791DS-IB4XOX4

18 Publicao Rockwell Automation 1756-RM099B-PT-P Novembro 2014

Para determinar o PFH do elemento lgico de cada malha de segurana no

Tabela 4 Equaes de PFH por malha de segurana

Ao calcular os valores de PFH, voc deve considerar os requisitos especficos da

Figura 3 Carga de Confiabilidade

Cada um dos tempos de reao dependente de forma varivel do tipo de

Publicao Rockwell Automation 1756-RM099B-PT-P Novembro 2014 19

Tempo de reao da tarefa de segurana